[Blockierte Grafik: http://www.xp-tipps-tricks.de/images/topics/virus.png] Mehrere Schwachstellen in HP-UX
Hewlett-Packard meldet zwei Lücken in HP-UX, durch die ein Angreifer aus dem Netz ohne Anmeldung auf das System zugreifen beziehungsweise ein lokaler Nutzer seine Rechte erhöhen könnte. Diese Lücken finden sich in den remshd- und envd-Daemons!
Der bislang nicht näher erläuterte Fehler im remshd-Daemon tritt wohl zu Tage, wenn HP-UX im sogenannten Trusted Mode läuft. Ein Angreifer könnte Zugriff auf das System erhalten, ohne sich vorher anmelden zu müssen.
Der envd-Daemon hingegen verarbeitet manipulierte Anfragen nicht korrekt. In der Folge könnte ein lokaler Benutzer beliebigen Code mit erhöhten Berechtigungen ausführen.
Hewlett-Packard stellt jedoch schon in den extra erschienenen Sicherheitsmeldungen zu den Lücken Updates für die betroffenen Betriebssystemversionen B.11.00 und B.11.11 (von beiden Fehlern betroffen) sowie B.11.23 (nur remshd-Leck) bereit. Der Zugriff gelingt aber erst nach einer Anmeldung.
Bitteschön:
Security Advisory zur remshd-Lücke von HP (Anmeldung erforderlich)
Security Advisory zum envd-Fehler von HP (Anmeldung erforderlich
Quelle: http://www.heise.de