CERTA-2009-AVI-031
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité est présente dans la série M des serveurs Sun SPARC Enterprise. Elle permet à un utilisateur distant de contourner la politique de sécurité du système.
Description
Une vulnérabilité de nature non précisée par Sun est présente dans les serveurs Sun SPARC Enterprise de la série M. Cette faille est relative à une erreur de paramétrage dans la XSCFU (eXtended System Control Facility Unit) qui permet à un utilisateur distant malintentionné de s'y connecter en tant qu'administrateur (root). Cette vulnérabilité ne concerne que les serveurs ayant un numéro de série correspondant à des dates de sorties comprises entre la 38ème et la 49ème semaine de l'année 2008.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention du correctif et des détails sur les numéros de séries concernés (cf. section Documentation).
None| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Sun SPARC Enterprise M4000 Server ;",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "Sun SPARC Enterprise M5000 Server.",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 de nature non pr\u00e9cis\u00e9e par Sun est pr\u00e9sente dans les\nserveurs Sun SPARC Enterprise de la s\u00e9rie M. Cette faille est relative \u00e0\nune erreur de param\u00e9trage dans la XSCFU (eXtended System Control\nFacility Unit) qui permet \u00e0 un utilisateur distant malintentionn\u00e9 de s\u0027y\nconnecter en tant qu\u0027administrateur (root). Cette vuln\u00e9rabilit\u00e9 ne\nconcerne que les serveurs ayant un num\u00e9ro de s\u00e9rie correspondant \u00e0 des\ndates de sorties comprises entre la 38\u00e8me et la 49\u00e8me semaine de l\u0027ann\u00e9e\n2008.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention du\ncorrectif et des d\u00e9tails sur les num\u00e9ros de s\u00e9ries concern\u00e9s (cf.\nsection Documentation).\n",
"cves": [
{
"name": "CVE-2009-0171",
"url": "https://www.cve.org/CVERecord?id=CVE-2009-0171"
}
],
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Sun Solaris #249126 du 19 janvier 2009 :",
"url": "http://sunsolve.sun.com/search/document.do?assetkey=1-26-249126-1"
}
],
"reference": "CERTA-2009-AVI-031",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2009-01-23T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans la s\u00e9rie M des serveurs Sun SPARC\nEnterprise. Elle permet \u00e0 un utilisateur distant de contourner la\npolitique de s\u00e9curit\u00e9 du syst\u00e8me.\n",
"title": "Vuln\u00e9rabilit\u00e9 des Serveurs Sun Serie M",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 #249126 du 19 janvier 2009",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.