| Internet Security Systems Security AdvisoryVulnerabilidade no programa cdmount [Internet Security Systems Security Advisory, 20.06.2000, revisão 01] Estamos repassando um alerta sobre uma recente vulnerabilidade encontrada no programa cdmount que faz parte do pacote UMS (UltiMedia Services) que acompanha o sistema operacional AIX. Como o proprio nome indica, este programa permite a um usuário qualquer montar o filesystem correspondente ao dispositivo CDROM. Apesar de ser uma vulnerabilidade que pode ser explorada apenas localmente, o CAIS considera de suma importância que sejam tomadas as providências cabíveis a fim de evitar que seu sistema se torne potencial alvo de ataques. Para saber se seu sistema é vulnerável, execute o seguinte comando: # lslpp -l UMS.objects Caso a versão apontada seja 2.3.0.0 ou inferior, seu sistema será vulnerável. A IBM não disponibilizou ainda o fix oficial para corrigir o problema, no entanto, existem duas soluções possiveis, uma definitiva e a outra como forma de contornar o problema, respectivamente: 1. Desinstalar o UMS, caso ele não esteja sendo usado, ou 2. Alterar as opções de permissão do programa, desativando o bit SUID. Para tal, bastará executar o comando: # chmod 555 /usr/lpp/UMS/bin/cdmount O CAIS acredita que a primeira solução seja a mais indicada. | Contato com o Cais: +55 (19) 3787-3300 |