Vendor Status Note JVNCIAC-O-046

Hewlett Packard - ypxfrd デーモンに脆弱性

概要

HP-UX の NIS マップ転送デーモン ypxfrd には、'/' や '.' を含む引数の処理に脆弱性があります。

影響を受けるシステム
 - HP-UX B.10.20
 - HP-UX B.10.26
 - HP-UX B.11.00
 - HP-UX B.11.11
 - HP-UX B.11.22

想定される影響

ローカルユーザが脆弱性を悪用して権限のないファイルを参照することにより、結果として、権限の昇格につながる可能性があります。
ベンダ情報

ベンダリンク更新日
日本ヒューレット・パッカードセキュリティ報告: HPSBUX0401-306
SSRT2339 ypxfrd
参考情報

  1. CERT Vulnerability Note VU#538033
    ypxfrd daemon fails to properly validate user supplied arguments in "getdbm" procedure
  2. V-STAF: ypxfrd-file-disclosure (10329)
    複数ベンダーの ypxfrd デーモンによるファイル露見
  3. ISS X-Force Database: ypxfrd-file-disclosure(10329)
    Multiple vendor ypxfrd daemon file disclosure
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2004-0201 ( 2004-01-15 )
JPCERT-WR-2004-0401 ( 2004-01-28 )
CIAC BulletinO-046 HP 'ypxfrd' daemon Vulnerability ( 2003-12-02 )
CVE2002-1199 [CVE+] XF10329
PGP署名JVNCIAC-O-046.html.sig
登録日3:43 2004/01/15
更新日8:03 2004/01/27

Copyright(C) 2002-2009 Keio Univ. All rights reserved.