[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
UNAM - CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletin de Seguridad UNAM-CERT 2001-012
Vulnerabilidad IRIX rpc.espd Buffer Overflow
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
El UNAM-CERT ha recibido enlas ultimas horas un incremento en una vulnerabilidad detectada por el equipo de respuesta a incidentes de SGI, en el servicio rpc.espd y que provoca un buffer overflow dentro del sistema provocando acceso al sistema de manera irrestricta.
Esta Vulnerabilidad ha sido conocida como CVE CAN-2001-0331. SGI provee esta informacion a la comunidad para su consideraci`on, interpretacion, implementacion y uso. SGI Recomienda que esta informaci`on sea llevada acabo en materia de actualizaci`on tan pronto como les sea posible a los administradores de dicho sistema.
El UNAM-CERT pone en alerta a todos los Administradores, Responsables de redes y de la Seguridad de los sistemas dentro del dominio .mx ante este tipo de Vulnerabilidades y formas de explotacion de los sistemas de Computo, con dicho sistema operativo.
Fecha de Liberaci'on : 9 de Mayo de 2001
Deteccion en Mexico : 11 de Mayo de 2001
Ultima Revisi'on : 15 de Mayo de 2001
Fuente : SGI Security Advisory.
, , , , , , , , , , , ,
* Sistemas Afectados *
, , , , , , , , , , , ,
Todos los equipos con sistema operativo IRIX 6.5.5 y posteriores.
IRIX 6.5.5 y IRIX 6.5.8 son vulnerables.
IRIX 6.5.7 y IRIX 6.5.8 con parche 4123 no son vulnerables.
IRIX 6.5.9 y posteriores no son vulnerables a este problema.
, , , , , , , , , , , , , , ,
* Descripci'on del Problema *
, , , , , , , , , , , , , , ,
El Servicio Embedded Support Partner (ESP) es parte de una infraestructura que es integrada dentro del sistema operativo IRIX con prop`ositos de soporte.
El grupo Internet Security Systems (ISS) X-Force ha reportado que se puede producir un buffer overflow que afecta al servicio y demonio ESP rpc.espd, el cual puede afectar de forma significativa al sistema poniendo en riesgo la integridad del sistema y otorgando privilegios de superusuario.
EL equipo de SGI ha investigado este t`opico y recomienda llevar a cabo los siguientes pasos para minimizar el riesgo en los equipos con dicho Sistema operativo. SE recomienda IMPLEMENTAR A LA BREVEDAD dichos pasos en todos los sistemas SGI que puedan ser vulnerables. Este T`opico ha sido corregido en las versiones del servicio ESP 2.0 para la version IRIX 6.5.9 y posteriores.
Mas informacion de esta vulnerabilidad puede ser encontrado en :
ftp://patches.sgi.com/support/free/security/advisories/20010501-01-P
, , , , , ,
* Impacto *
, , , , , ,
Afecta a las plataformas con el servicio ESP instalado por default en los sistemas IRIX 6.5.5 y posteriores.
IRIX 6.5.5 a las versiones 6.5.8
IRIX 6.5.7 y IRIX 6.5.8 con el parche 4123 no son vulnerables.
IRIX 6.5.9 y posteriores no son vulnerables.
Una cuenta de un usuario local dentro de un sistema vulnerable no puede explotar dicha vulnerabilidad. El demonio rpc.espd puede ser explotado de forma remota atraves de redes no confiables.
La vulnerabilidad del buffer overflow puede llevar a comprometer el sistema y comprometer la cuenta de superusuario.
La vulnerabilidad del buffer overflow fue reportada por ISS X-Force en la siguiente direcci`on:
http://xforce.iss.net
Dicha vulnerabilidad ha sido etiquetada por CVE (Common Vulnerability Exposure) y esta disponible en :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0331
, , , , , , , , , , ,
* Solucion Temporal *
, , , , , , , , , , ,
Debido a que en la mayoria de los casos es extremadamente recomendable aplicar los parches correspondientes del sistema, en diversas ocasiones esto no es posible llevarlo acabo a la brevedad, por lo que recomendamos llevar a cabo los siginetes pasos para desactivar el demonio rpc.espd para prevenir la explotacion de esta vulnerabilidad hasta que los parches puedan ser instalados.
1. Convertirse en el superusuario del sistema
% /bin/su -
Password:
#
2. Cambiar los permisos al demonio rpc.espd
# /bin/chmod -x /usr/etc/rpc.espd
3. Reiniciar el demonio inetd
# /etc/killall -HUP inetd
4. Regresar al nivel anterior
#exit
%
, , , , , , ,
* Solucion *
, , , , , ,, ,
Para la version 2.0 del servicio ESP han sido corregidos dicho problema de seguridad, asi como en los sistemas IRIX 6.5.9 y posteriores, asi como los sistemas con el parche 4123 para los sistemas IRIX 6.5.7 y 6.5.8
Version Vulnerable Patch # Acciones Adicionales
---------- ----------- ------- -------------
IRIX 3.x no Nota 1
IRIX 4.x no Nota 1
IRIX 5.x no Nota 1
IRIX 6.0.x no Nota 1
IRIX 6.1 no Nota 1
IRIX 6.2 no Nota 1
IRIX 6.3 no Nota 1
IRIX 6.4 no Nota 1
IRIX 6.5 no Nota 1
IRIX 6.5.1 no Nota 1
IRIX 6.5.2 no Nota 1
IRIX 6.5.3 no Nota 1
IRIX 6.5.4 no Nota 1
IRIX 6.5.5 yes Nota 1 y 3
IRIX 6.5.6 yes Nota 1 y 3
IRIX 6.5.7 yes 4123 Nota 1 y 3
IRIX 6.5.8 yes 4123 Nota 1 y 3
IRIX 6.5.9 no Nota 1
IRIX 6.5.10 no Nota 2
IRIX 6.5.11 no Nota 4
NOTAS :
- ------
1. Esta version del sistema operativo IRIX ya ha sido retirada. Se recomienda actualizar a una version mas reciente. Consultar la siguiente informaci`on:
http://support.sgi.com/news/support/index.html#customer_letters
2. Esta versi`on del sistema operativo IRIX se encuentra en modo de mantenimiento. Se recomienda actualizar a una version mas reciente y una version para la cual exista soporte proporcionado por SGI. Consultar la siguiente informacion:
http://support.sgi.com/news/support/index.html#customer_letters
3. Consultar la secci`on "Soluciones Temporales"
4. Bajar los ultimos releases del sistema IRIX 6.5 de :
http://support.sgi.com/colls/patches/tools/relstream/index.html
O contactar directamente al proveedor ofial de SGI para obtener los ultimos parches y actualizaciones correspondientes en el CD.
Los parches de actualizaci`ob estan disponibles v`ia WEB, FTP anonimo atrav`es de los proveedores SGI.
- ------------------------------------
APENDICE A : Informacion Adicional
- ------------------------------------
Pagina de Seguridad SGI
http://www.sgi.com/support/security/ and
ftp://patches.sgi.com/support/free/security/advisories/
Parches de Seguridad SGI
http://www.sgi.com/support/security/ and
ftp://patches.sgi.com/support/free/security/patches/
Parches de Seguridad para IRIX SGI
http://support.sgi.com/irix/ and ftp://patches.sgi.com/
Pagina de actualizaciones FREEWARE SGI
http://freeware.sgi.com/
Pagina de algunas Actualizaciones y Open Source SGI
http://oss.sgi.com/projects/
Pagina de parches y RPM`s para Linux SGI
http://support.sgi.com/linux/ or
http://oss.sgi.com/projects/sgilinux-combined/download/security-fixes/
Pagina de parches para Windows NT o 2000 SGI
http://support.sgi.com/nt/
Cluster de Parches recomendados para IRIX 5.2-6.4
http://support.sgi.com/irix/ and ftp://patches.sgi.com/support/patchset/
Pagina de ultimos releases,mantenimiento y noticias de IRIX 6.5
http://support.sgi.com/colls/patches/tools/relstream/index.html
Pagina donde se puede obtener el software de actualizacion de IRIX 6.5
http://support.sgi.com/irix/swupdates/
##### Patch File Checksums ####
Acontinuacion se presentan los archivos correspondientes con las firmas para verificar su integridad
Filename: README.patch.4123
Algorithm #1 (sum -r): 42191 57 README.patch.4123
Algorithm #2 (sum): 8760 57 README.patch.4123
MD5 checksum: 50335F5A79F4E7E1341BFC2D6E7EBA61
Filename: patch4123.chksums.only
Algorithm #1 (sum -r): 27629 1 patch4123.chksums.only
Algorithm #2 (sum): 11216 1 patch4123.chksums.only
MD5 checksum: 49D94C480E673A31450E9900627EC0E4
Filename: patch4123.pgp.and.chksums
Algorithm #1 (sum -r): 32624 2 patch4123.pgp.and.chksums
Algorithm #2 (sum): 63277 2 patch4123.pgp.and.chksums
MD5 checksum: 994CCCFAA8D9F32189ECD9E56AA7EC4D
Filename: patchSG0004123
Algorithm #1 (sum -r): 63263 6 patchSG0004123
Algorithm #2 (sum): 61222 6 patchSG0004123
MD5 checksum: 690830DDB9E6AD6B8204B8ABB4DC7355
Filename: patchSG0004123.eoe_books
Algorithm #1 (sum -r): 17575 13187 patchSG0004123.eoe_books
Algorithm #2 (sum): 56328 13187 patchSG0004123.eoe_books
MD5 checksum: 8DB739C7EC99953046FCB36683F4A19E
Filename: patchSG0004123.eoe_man
Algorithm #1 (sum -r): 32417 132 patchSG0004123.eoe_man
Algorithm #2 (sum): 61773 132 patchSG0004123.eoe_man
MD5 checksum: 7C674D827EEED0DF8DD68A48C722EE6C
Filename: patchSG0004123.eoe_sw
Algorithm #1 (sum -r): 53412 10081 patchSG0004123.eoe_sw
Algorithm #2 (sum): 33482 10081 patchSG0004123.eoe_sw
MD5 checksum: 23303AE759B3CEA75CE9CE3E56215829
Filename: patchSG0004123.eoe_sw64
Algorithm #1 (sum -r): 18041 19 patchSG0004123.eoe_sw64
Algorithm #2 (sum): 8176 19 patchSG0004123.eoe_sw64
MD5 checksum: D6B07A95299A25B4D5C3A48C55DF6F43
Filename: patchSG0004123.idb
Algorithm #1 (sum -r): 40104 247 patchSG0004123.idb
Algorithm #2 (sum): 23426 247 patchSG0004123.idb
MD5 checksum: 4B4FD1F676A230169E598904EACFAC1D
, , , , , , ,
* INFORMACION *
, , , , , , ,
Este documento se encuentra disponible en su formato original en la siguiente direccion:
ftp://patches.sgi.com/support/free/security/advisories/20010501-01-P
Para mayor informaci'on acerca de este boletin contactar a:
- ---
Departamento Seguridad en Computo
UNAM-CERT
DGSCA, UNAM E-mail:seguridad en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBOwG4aXAvLUtwgRsVAQGdXQf/WcOHDdZazaOT3FUhU+TFD5IlYttfrxGH
vk74qQuOZAUMXZ636003tOYdvxrTrrLDNPcFuBoCLV9MXmbvNmRuiiJFUqr73Eaj
lYFG+Gt7MnmTr2MOXEZgVMO3pb6Ul4uoPCJA2Sv4wwQjOrbs2MY/jwsdDPSZLp/T
s2/jgnsK6dGcMYD4Xbwdb7AUKSxloW8lSLRgNDszINYZoHHQ968M2M5WmXEiTvuw
IzhGzSk2gICdLbHH/aZP6RB7foA5LBA3GtAz4ojD+s9iTOdxwbIEP78l6KKwn14N
PX0yGpcGUfZy6pX5Z2+nOWBwNTDcBfLGKQtyImV5Sn18yRjkEqWjIQ==
=4K0K
-----END PGP SIGNATURE-----
---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux org mx