[Ayuda] Boletin UNAM-CERT-2002-011 "Overflow de Heap en el Demonio Cachefs"

To: UNAM-CERT <unam-cert en seguridad unam mx>
Subject: [Ayuda] Boletin UNAM-CERT-2002-011 "Overflow de Heap en el Demonio Cachefs"
From: UNAM-CERT <unam-cert en seguridad unam mx>
Date: Tue, 7 May 2002 12:00:07 -0500 (CDT)
In-reply-to: <Pine.GSO.4.10.10205021424060.18183-100000@martini.super.unam.mx>
List-archive: <https://pegaso.fisica.unam.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
Sender: ayuda-admin en linux org mx

-----BEGIN PGP SIGNED MESSAGE-----

     ------------------------------------------------------------------
                                   UNAM-CERT
 
                      Departamento de Seguridad en Computo
 
                                  DGSCA- UNAM
 
                  Boletin de Seguridad UNAM-CERT 2002-011
 
                   Overflow de Heap en el Demonio Cachefs
     ------------------------------------------------------------------

     El   CERT/UNAM-CERT ,  a trav�s  de  sus  equipos  de respuesta  a
     incidentes de Seguridad en C�mputo, han emitido �ste bolet�n en el
     cual  informan  de la  existencia  una vulnerabilidad  remotamente
     explotable en  el demonio  cachefs (cachefsd) que  podr�a permitir
     que un intruso remoto ejecute c�digo arbitrario con privilegios de
     cachefsd, t�picamente de Adminitrador Local.

     El  CERT/UNAM-CERT no han recibido  reportes de escaneos y exploit
     de  esta   vulnerabilidad  en  los  Sistemas   Solaris  que  estan
     ejecutando cachefsd.

     Fecha de
     Liberaci�n:       6 de Mayo de 2002
     Ultima Revisi�n:  6 de Mayo de 2002
                       CERT/CC y diversos reportes
     Fuente:           de Equipos de Respuesta a
                       Incidentes.


     SISTEMAS AFECTADOS
     __________________

        * Sun Solaris 2.5.1, 2.6, 7 y 8 (Arquitecturas SPARC e Intel)



     DESCRIPCI�N
     -----------

     Un overflow  de heap remotamente explotable  existe en el programa
     cachefsd contenido e instalado  por default en Solaris 2.5.1, 2.6,
     7 y 8 (arquitecturas SPARC e Intel).

     Las  bit�coras  de intentos  del  exploit  de esta  vulnerabilidad
     podr�an parecerse a las siguientes:

     May 16 22:46:08 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped
     May 16 22:46:21 victim-host last message repeated 7 times
     May 16 22:46:22 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Bus Error - core dumped
     May 16 22:46:24 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped
     May 16 22:46:56 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Bus Error - core dumped
     May 16 22:46:59 victim-host last message repeated 1 time
     May 16 22:47:02 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped
     May 16 22:47:07 victim-host last message repeated 3 times
     May 16 22:47:09 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Hangup
     May 16 22:47:11 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped

     De  acuerdo con  la Notificaci�n  de Alerta  de Sun,  los intentos
     fallidos  del  exploit  de  esta vulnerabilidad  pueden  dejar  un
     archivo  core  corrupto en  el  diretorio ra�z.  La presencia  del
     archivo core no  previene la posilbilidad de ataques subsecuentes.
     Adicionalmente,  si  el   archivo   /etc/cahefstab  existe,  puede
     contener entradas inusuales.

     Este problema esta referenciado tambi�n como CAN-2002-0084:

          http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0084

     El CERT de Australia tambi�n ha emitido un bolet�n relacionado con
     la actividad del exploit de la vulnerabilidad en cachefsd:

          http://www.auscert.org.au/Information/Advisories/advisory/AA-2002.01.txt


     IMPACTO
     -------

     Un  intruso  remoto  podr�a  ser  capaz  de  ejecutar  c�digo  con
     privilegios  del  proceso cachefsd,  t�picamente de  Administrador
     Local (root).


     SOLUCIONES
     ----------


     * Aplicar un Parche del Distribuidor

     El    Ap�ndice  A  contiene  informaci�n   proporcionada  por  los
     distribuidores de este bolet�n.

     Si un  parche no est� disponible,  se debe deshabilitar el demonio
     chachefs (cachefsd)  en inetd.conf  hasta que un  parche pueda ser
     aplicado.

     Si  deshabilitar el demonio  cachefs no  es una opci�n,  se pueden
     seguir las  soluciones temporales sugeridas en  la Notificaci�n de
     Alerta de Sun.


     AP�NDICE A
     ----------

     Este   Ap�ndice   contiene  informaci�n   proporcionada  por   los
     distribuidores de �ste bolet�n. Tan pronto como los distribuidores
     reporten   informaci�n  al   CERT/UNAM-CERT,  esta   secci�n  ser�
     actualizada.  Si  alg�n distribuidor  no  se  encuentra listado  a
     continuaci�n,  consulte la  Nota  de Vulnerabilidad  (VU#635811) o
     contacte directamente a su distribuidor.

     IBM

          El sistema operativo AIX de IBM, en todas sus versiones,
          no es vulnerable.

     SGI

          SGI no contiene el demonio chachefs de Sun, de esta
          manera, IRIX no es vulnerable.

     Sun

          Consulte la Notificaci�n de Alerta de Sun disponible en
          http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F44309.


     INFORMACI�N
     -----------

     �ste documento se encuentra disponible en su formato original en
     la siguiente direcci�n:

          http://www.cert.org/advisories/CA-2002-011.html

     Para  mayor  informaci�n  acerca  de  �ste  bolet�n  de  seguridad
     contactar a:

                                 UNAM CERT
                   Equipo de Respuesta a Incidentes UNAM
                    Departamento de Seguridad en Computo
                                DGSCA - UNAM
                    E-Mail : seguridad en seguridad unam mx
                        http://www.unam-cert.unam.mx
                        http://www.seguridad.unam.mx
                        ftp://ftp.seguridad.unam.mx
                             Tel : 56 22 81 69
                             Fax : 56 22 80 43
 

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAwUBPNgIQHAvLUtwgRsVAQH+NQgAuhUZ/5wxAcY5uHv/8N8T7bS+Q1uz+0uS
RGQMFf5I/k75j3D0EpQFaiuH4TJFZjaf1woVGbP1cA3EQB2ReKMSncfrKiuv4dt2
bWkC57OOMFlj7394EkrrN5ScQ4tl8OeRuadVe2BqKiH8R5V9TjByruwtKqXHIG0p
XwyjBUbLBNHY/N/q88mc37HlxHN2OgnRAdjnXXBvw6QZqsnOOzxPb2qU8bRfHeND
9h8+9QqsSpEjFoUDbcF5C+jtofjK0FmmVs2MTkxOMdsd4GRBAM7lqD+thcOolkTm
vd/KJAFeEgoukrB1E+8tCaZ22IIK6Mov9vF3oft7tVfNU0sHyXyS4g==
=Tc+j
-----END PGP SIGNATURE-----


_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/

Mensaje(s) a continuación:
- [Ayuda] Boletin UNAM-CERT-2002-012 "Vulnerabilidad de Formato de Cadena en el DHCPD de ISC"
  - De: UNAM-CERT

Previo por Fecha: [Ayuda] Password
Siguiente por Fecha: Re: [Ayuda] Password
Previo por Hilo: Re: [Ayuda] Password
Siguiente por Hilo: [Ayuda] Boletin UNAM-CERT-2002-012 "Vulnerabilidad de Formato de Cadena en el DHCPD de ISC"

[Hilos de Discusión] [Fecha] [Tema] [Autor]