Mehrere Schwachstellen in HP-UX
Hewlett-Packard meldet zwei Lücken in HP-UX, durch die ein Angreifer aus dem Netz ohne Anmeldung auf das System zugreifen beziehungsweise ein lokaler Nutzer seine Rechte erhöhen könnte.
Hewlett-Packard meldet zwei Lücken in HP-UX, durch die ein Angreifer aus dem Netz ohne Anmeldung auf das System zugreifen beziehungsweise ein lokaler Nutzer seine Rechte erhöhen könnte. Die Lücken finden sich in den remshd- und envd-Daemons.
Der nicht näher erläuterte Fehler im remshd-Daemon tritt zu Tage, wenn HP-UX im Trusted Mode läuft. Ein Angreifer könnte dadurch Zugriff auf das System erhalten, ohne sich vorher anmelden zu müssen. Der envd-Daemon verarbeitet manipulierte Anfragen nicht korrekt. In der Folge könnte ein lokaler Benutzer beliebigen Code mit erhöhten Berechtigungen ausführen.
Hewlett-Packard stellt in Sicherheitsmeldungen zu den Lücken Updates für die betroffenen Betriebssystemversionen B.11.00 und B.11.11 (von beiden Fehlern betroffen) sowie B.11.23 (nur remshd-Leck) bereit. Der Zugriff gelingt aber erst nach einer Anmeldung.
Siehe dazu auch: (dmk)
- Security Advisory zur remshd-Lücke von HP (Anmeldung erforderlich)
- Security Advisory zum envd-Fehler von HP (Anmeldung erforderlich)