Vulnérabilité dans l'implémentation HP-UX de l'outil Bastille
Date : 23 Juin 2005
"Bastille" est à l’origine un outil "open-source" visant à améliorer le niveau de sécurité du système d’exploitation Linux, via une liste de contrôle ("checklist") permettant de renforcer la sécurité de ce dernier. Helwett-Packard vient d'annoncer qu'il avait porté "Bastille" sur son système d’exploitation HP-UX.
Cependant, une première vulnérabilité a été découverte dans le portage "Bastille" sur HP-UX (Bastille B.02.00.00). En effet, "Bastille B.02.00.00" configure de manière incorrecte les options "novrfy" et "noexpn" du serveur de messagerie "Sendmail". Cette vulnérabilité peut donc permettre à un attaquant distant de vérifier l’existence des adresses e-mail des utilisateurs et de récupérer le contenu de leurs alias s’ils en ont.
Nota : Cette vulnérabilité n’affecte pas "Bastille" sous les systèmes Linux.
Malgré cette faille, qui peut être considérée comme un défaut dû à la jeunesse du produit pour HP, "Bastille" demeure un produit intéressant, et ce problème ne remet pas en cause l’effort de HP de proposer des scripts de sécurisation.
Références :
- Présentation du produit "Bastille" pour HP : http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/displayProductInfo.pl?productNumber=B6849AA
- Avis de sécurité de HP-UX HPSBUX0302-244 et HPSBUX0302-245 : http://www.itrc.com
- Site de Bastille Linux : http://www.bastille-linux.org