-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 22/03/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Elevación de privilegios a través de nddstat en IBM AIX 5.x y 6.x
-----------------------------------------------------------------

IBM ha publicado una actualización para sistemas AIX 5.x y 6.x que
soluciona múltiples problemas de seguridad en nddstat que podrían
permitir a un atacante local elevar sus privilegios.

El fallo se debe a un error a la hora de manejar variables de entorno
en la familia de comandos nddstat. Un atacante local podría llegar a
ejecutar código con privilegios de root debido a que los comandos
tienen el setuid activo como root.

Los comandos vulnerables son:
/usr/sbin/atmstat
/usr/sbin/entstat
/usr/sbin/fddistat
/usr/sbin/hdlcstat
/usr/sbin/tokstat

La actualización publicada por IBM se encuentra disponible desde: ftp://aix.software.ibm.com/aix/efixes/security/nddstat_fix.tar

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3437/comentar

Más información:

AIX nddstat family environment variable error http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4157


Laboratorio Hispasec
laboratorio@hispasec.com


Tal día como hoy:
-----------------

22/03/2007: Diversas vulnerabilidades en OpenOffice.org
http://www.hispasec.com/unaaldia/3071

22/03/2006: Actualización de la rama 2.6 del kernel de Linux
http://www.hispasec.com/unaaldia/2706

22/03/2005: Actualización de seguridad para cURL
http://www.hispasec.com/unaaldia/2341

22/03/2004: Denegación de servicio en Apache 2
http://www.hispasec.com/unaaldia/1975

22/03/2003: Vulnerabilidad en Samba
http://www.hispasec.com/unaaldia/1609

22/03/2002: La CIA rastrea ilegalmente a los visitantes de su web
http://www.hispasec.com/unaaldia/1244

22/03/2001: Graves problemas de seguridad en scripts para IRC
http://www.hispasec.com/unaaldia/879

22/03/2000: ¿Sociedad de la Información o Sociedad de la Vigilancia?
http://www.hispasec.com/unaaldia/512

22/03/1999: Buffer Overflow en Eudora
http://www.hispasec.com/unaaldia/146


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)