Vous êtes sur le site public du Cert-IST
Vulnérabilité dans l'implémentation HP-UX de l'outil Bastille

Date :23 Juin 2005

Publication: Article

"Bastille" est à l’origine un outil "open-source" visant à améliorer le niveau de sécurité du système d’exploitation Linux, via une liste de contrôle ("checklist") permettant de renforcer la sécurité de ce dernier. Helwett-Packard vient d'annoncer qu'il avait porté "Bastille" sur son système d’exploitation HP-UX.

Cependant, une première vulnérabilité a été découverte dans le portage "Bastille" sur HP-UX (Bastille B.02.00.00). En effet, "Bastille B.02.00.00" configure de manière incorrecte les options "novrfy" et "noexpn" du serveur de messagerie "Sendmail". Cette vulnérabilité peut donc permettre à un attaquant distant de vérifier l’existence des adresses e-mail des utilisateurs et de récupérer le contenu de leurs alias s’ils en ont.

Nota : Cette vulnérabilité n’affecte pas "Bastille" sous les systèmes Linux.

Malgré cette faille, qui peut être considérée comme un défaut dû à la jeunesse du produit pour HP, "Bastille" demeure un produit intéressant, et ce problème ne remet pas en cause l’effort de HP de proposer des scripts de sécurisation.

Références :