Security Lab

Отказ в обслуживании в IBM AIX

Дата публикации:29.04.2004
Всего просмотров:1339
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: IBM AIX

Описание: Несколько уязвимостей обнаружено в IBM AIX Logical Volume Manager (LVM) командах. Локальный пользователь может вызвать условия отказа в обслуживании. Локальный пользователь может выполнить произвольный код.

Некоторые LVM команды небезопасно используют временные файлы. В результате локальный пользователь может выполнить нападение символьных ссылок, чтобы перезаписать произвольные файлы на системе с поднятыми привилегиями. Уязвимость может использоваться для создания условий локального отказа в обслуживании.

Также сообщается, что 'putlvcb' и 'getlvcb' команды содержат переполнение буфера. Локальный пользователь с with "system group" привилегиями, может заставить эти команды выполнить произвольный код.

URL производителя: http://www.ibm.com/

Решение:Установите AIX 5.1.0 и 5.1.2: ftp://aix.software.ibm.com/aix/efixes/security/lvmcmd_efix.tar.Z

Ссылки: symlink and buffer overflow vulnerabilities in LVM commands