Schwachstelle im Paketsystem von HP-UX
Ein Fehler im Package-Utility shar in HP-UX ermöglicht lokalen Nutzern das Ausführen von beliebigem Code.
Ein Fehler im Package-Utility shar in HP-UX ermöglicht lokalen Nutzern das Ausführen von beliebigen Programmen. shar legt im /tmp-Verzeichnis temporäre Dateien beim Entpacken von HP-UX-Paketen an. Die Dateinamen sind vorhersagbar, was zu einer potenziellen Sicherheitslücke führt: Ein lokaler Nutzer kann einen symbolischen Link auf eine kritische Datei mit einem solchen Namen im /tmp-Verzeichnis anlegen und über den anschließenden Aufruf von shar Zugriff auf geschützte Systemdateien erlangen.
Betroffen sind HP-UX 11.00, 11.04 und 11.11, nicht aber HP Tru64 Unix und HP NonStop Server. Hewlett Packard stellt Patches gegen die SicherheitslĂĽcke im IT Resource Center fĂĽr registrierte Kunden bereit. (pab)
