[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . UNAM - CERT Departamento de Seguridad en Computo DGSCA- UNAM Boletin de Seguridad UNAM-CERT 2001-012 Vulnerabilidad IRIX rpc.espd Buffer Overflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El UNAM-CERT ha recibido enlas ultimas horas un incremento en una vulnerabilidad detectada por el equipo de respuesta a incidentes de SGI, en el servicio rpc.espd y que provoca un buffer overflow dentro del sistema provocando acceso al sistema de manera irrestricta. Esta Vulnerabilidad ha sido conocida como CVE CAN-2001-0331. SGI provee esta informacion a la comunidad para su consideraci`on, interpretacion, implementacion y uso. SGI Recomienda que esta informaci`on sea llevada acabo en materia de actualizaci`on tan pronto como les sea posible a los administradores de dicho sistema. El UNAM-CERT pone en alerta a todos los Administradores, Responsables de redes y de la Seguridad de los sistemas dentro del dominio .mx ante este tipo de Vulnerabilidades y formas de explotacion de los sistemas de Computo, con dicho sistema operativo. Fecha de Liberaci'on : 9 de Mayo de 2001 Deteccion en Mexico : 11 de Mayo de 2001 Ultima Revisi'on : 15 de Mayo de 2001 Fuente : SGI Security Advisory. , , , , , , , , , , , , * Sistemas Afectados * , , , , , , , , , , , , Todos los equipos con sistema operativo IRIX 6.5.5 y posteriores. IRIX 6.5.5 y IRIX 6.5.8 son vulnerables. IRIX 6.5.7 y IRIX 6.5.8 con parche 4123 no son vulnerables. IRIX 6.5.9 y posteriores no son vulnerables a este problema. , , , , , , , , , , , , , , , * Descripci'on del Problema * , , , , , , , , , , , , , , , El Servicio Embedded Support Partner (ESP) es parte de una infraestructura que es integrada dentro del sistema operativo IRIX con prop`ositos de soporte. El grupo Internet Security Systems (ISS) X-Force ha reportado que se puede producir un buffer overflow que afecta al servicio y demonio ESP rpc.espd, el cual puede afectar de forma significativa al sistema poniendo en riesgo la integridad del sistema y otorgando privilegios de superusuario. EL equipo de SGI ha investigado este t`opico y recomienda llevar a cabo los siguientes pasos para minimizar el riesgo en los equipos con dicho Sistema operativo. SE recomienda IMPLEMENTAR A LA BREVEDAD dichos pasos en todos los sistemas SGI que puedan ser vulnerables. Este T`opico ha sido corregido en las versiones del servicio ESP 2.0 para la version IRIX 6.5.9 y posteriores. Mas informacion de esta vulnerabilidad puede ser encontrado en : ftp://patches.sgi.com/support/free/security/advisories/20010501-01-P , , , , , , * Impacto * , , , , , , Afecta a las plataformas con el servicio ESP instalado por default en los sistemas IRIX 6.5.5 y posteriores. IRIX 6.5.5 a las versiones 6.5.8 IRIX 6.5.7 y IRIX 6.5.8 con el parche 4123 no son vulnerables. IRIX 6.5.9 y posteriores no son vulnerables. Una cuenta de un usuario local dentro de un sistema vulnerable no puede explotar dicha vulnerabilidad. El demonio rpc.espd puede ser explotado de forma remota atraves de redes no confiables. La vulnerabilidad del buffer overflow puede llevar a comprometer el sistema y comprometer la cuenta de superusuario. La vulnerabilidad del buffer overflow fue reportada por ISS X-Force en la siguiente direcci`on: http://xforce.iss.net Dicha vulnerabilidad ha sido etiquetada por CVE (Common Vulnerability Exposure) y esta disponible en : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0331 , , , , , , , , , , , * Solucion Temporal * , , , , , , , , , , , Debido a que en la mayoria de los casos es extremadamente recomendable aplicar los parches correspondientes del sistema, en diversas ocasiones esto no es posible llevarlo acabo a la brevedad, por lo que recomendamos llevar a cabo los siginetes pasos para desactivar el demonio rpc.espd para prevenir la explotacion de esta vulnerabilidad hasta que los parches puedan ser instalados. 1. Convertirse en el superusuario del sistema % /bin/su - Password: # 2. Cambiar los permisos al demonio rpc.espd # /bin/chmod -x /usr/etc/rpc.espd 3. Reiniciar el demonio inetd # /etc/killall -HUP inetd 4. Regresar al nivel anterior #exit % , , , , , , , * Solucion * , , , , , ,, , Para la version 2.0 del servicio ESP han sido corregidos dicho problema de seguridad, asi como en los sistemas IRIX 6.5.9 y posteriores, asi como los sistemas con el parche 4123 para los sistemas IRIX 6.5.7 y 6.5.8 Version Vulnerable Patch # Acciones Adicionales ---------- ----------- ------- ------------- IRIX 3.x no Nota 1 IRIX 4.x no Nota 1 IRIX 5.x no Nota 1 IRIX 6.0.x no Nota 1 IRIX 6.1 no Nota 1 IRIX 6.2 no Nota 1 IRIX 6.3 no Nota 1 IRIX 6.4 no Nota 1 IRIX 6.5 no Nota 1 IRIX 6.5.1 no Nota 1 IRIX 6.5.2 no Nota 1 IRIX 6.5.3 no Nota 1 IRIX 6.5.4 no Nota 1 IRIX 6.5.5 yes Nota 1 y 3 IRIX 6.5.6 yes Nota 1 y 3 IRIX 6.5.7 yes 4123 Nota 1 y 3 IRIX 6.5.8 yes 4123 Nota 1 y 3 IRIX 6.5.9 no Nota 1 IRIX 6.5.10 no Nota 2 IRIX 6.5.11 no Nota 4 NOTAS : - ------ 1. Esta version del sistema operativo IRIX ya ha sido retirada. Se recomienda actualizar a una version mas reciente. Consultar la siguiente informaci`on: http://support.sgi.com/news/support/index.html#customer_letters 2. Esta versi`on del sistema operativo IRIX se encuentra en modo de mantenimiento. Se recomienda actualizar a una version mas reciente y una version para la cual exista soporte proporcionado por SGI. Consultar la siguiente informacion: http://support.sgi.com/news/support/index.html#customer_letters 3. Consultar la secci`on "Soluciones Temporales" 4. Bajar los ultimos releases del sistema IRIX 6.5 de : http://support.sgi.com/colls/patches/tools/relstream/index.html O contactar directamente al proveedor ofial de SGI para obtener los ultimos parches y actualizaciones correspondientes en el CD. Los parches de actualizaci`ob estan disponibles v`ia WEB, FTP anonimo atrav`es de los proveedores SGI. - ------------------------------------ APENDICE A : Informacion Adicional - ------------------------------------ Pagina de Seguridad SGI http://www.sgi.com/support/security/ and ftp://patches.sgi.com/support/free/security/advisories/ Parches de Seguridad SGI http://www.sgi.com/support/security/ and ftp://patches.sgi.com/support/free/security/patches/ Parches de Seguridad para IRIX SGI http://support.sgi.com/irix/ and ftp://patches.sgi.com/ Pagina de actualizaciones FREEWARE SGI http://freeware.sgi.com/ Pagina de algunas Actualizaciones y Open Source SGI http://oss.sgi.com/projects/ Pagina de parches y RPM`s para Linux SGI http://support.sgi.com/linux/ or http://oss.sgi.com/projects/sgilinux-combined/download/security-fixes/ Pagina de parches para Windows NT o 2000 SGI http://support.sgi.com/nt/ Cluster de Parches recomendados para IRIX 5.2-6.4 http://support.sgi.com/irix/ and ftp://patches.sgi.com/support/patchset/ Pagina de ultimos releases,mantenimiento y noticias de IRIX 6.5 http://support.sgi.com/colls/patches/tools/relstream/index.html Pagina donde se puede obtener el software de actualizacion de IRIX 6.5 http://support.sgi.com/irix/swupdates/ ##### Patch File Checksums #### Acontinuacion se presentan los archivos correspondientes con las firmas para verificar su integridad Filename: README.patch.4123 Algorithm #1 (sum -r): 42191 57 README.patch.4123 Algorithm #2 (sum): 8760 57 README.patch.4123 MD5 checksum: 50335F5A79F4E7E1341BFC2D6E7EBA61 Filename: patch4123.chksums.only Algorithm #1 (sum -r): 27629 1 patch4123.chksums.only Algorithm #2 (sum): 11216 1 patch4123.chksums.only MD5 checksum: 49D94C480E673A31450E9900627EC0E4 Filename: patch4123.pgp.and.chksums Algorithm #1 (sum -r): 32624 2 patch4123.pgp.and.chksums Algorithm #2 (sum): 63277 2 patch4123.pgp.and.chksums MD5 checksum: 994CCCFAA8D9F32189ECD9E56AA7EC4D Filename: patchSG0004123 Algorithm #1 (sum -r): 63263 6 patchSG0004123 Algorithm #2 (sum): 61222 6 patchSG0004123 MD5 checksum: 690830DDB9E6AD6B8204B8ABB4DC7355 Filename: patchSG0004123.eoe_books Algorithm #1 (sum -r): 17575 13187 patchSG0004123.eoe_books Algorithm #2 (sum): 56328 13187 patchSG0004123.eoe_books MD5 checksum: 8DB739C7EC99953046FCB36683F4A19E Filename: patchSG0004123.eoe_man Algorithm #1 (sum -r): 32417 132 patchSG0004123.eoe_man Algorithm #2 (sum): 61773 132 patchSG0004123.eoe_man MD5 checksum: 7C674D827EEED0DF8DD68A48C722EE6C Filename: patchSG0004123.eoe_sw Algorithm #1 (sum -r): 53412 10081 patchSG0004123.eoe_sw Algorithm #2 (sum): 33482 10081 patchSG0004123.eoe_sw MD5 checksum: 23303AE759B3CEA75CE9CE3E56215829 Filename: patchSG0004123.eoe_sw64 Algorithm #1 (sum -r): 18041 19 patchSG0004123.eoe_sw64 Algorithm #2 (sum): 8176 19 patchSG0004123.eoe_sw64 MD5 checksum: D6B07A95299A25B4D5C3A48C55DF6F43 Filename: patchSG0004123.idb Algorithm #1 (sum -r): 40104 247 patchSG0004123.idb Algorithm #2 (sum): 23426 247 patchSG0004123.idb MD5 checksum: 4B4FD1F676A230169E598904EACFAC1D , , , , , , , * INFORMACION * , , , , , , , Este documento se encuentra disponible en su formato original en la siguiente direccion: ftp://patches.sgi.com/support/free/security/advisories/20010501-01-P Para mayor informaci'on acerca de este boletin contactar a: - --- Departamento Seguridad en Computo UNAM-CERT DGSCA, UNAM E-mail:seguridad en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBOwG4aXAvLUtwgRsVAQGdXQf/WcOHDdZazaOT3FUhU+TFD5IlYttfrxGH vk74qQuOZAUMXZ636003tOYdvxrTrrLDNPcFuBoCLV9MXmbvNmRuiiJFUqr73Eaj lYFG+Gt7MnmTr2MOXEZgVMO3pb6Ul4uoPCJA2Sv4wwQjOrbs2MY/jwsdDPSZLp/T s2/jgnsK6dGcMYD4Xbwdb7AUKSxloW8lSLRgNDszINYZoHHQ968M2M5WmXEiTvuw IzhGzSk2gICdLbHH/aZP6RB7foA5LBA3GtAz4ojD+s9iTOdxwbIEP78l6KKwn14N PX0yGpcGUfZy6pX5Z2+nOWBwNTDcBfLGKQtyImV5Sn18yRjkEqWjIQ== =4K0K -----END PGP SIGNATURE----- --------------------------------------------------------- para salir de la lista, enviar un mensaje con las palabras "unsubscribe ayuda" en el cuerpo a majordomo en linux org mx