RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

SANS Institute: Solaris yppassword buffer overflow

Vulnerabilidade remota encontrada no 'yppassword'

[SANS Institute, 11.05.2001, revisão 01]


O CAIS está repassando (em anexo) alerta divulgado pelo Instituto SANS sobre vulnerabilidade remota encontrada no 'yppassword', serviço encontrado nos sistemas Solaris que permite alterar as senhas de rede na base de dados NIS.

No momento, os sistemas comprovadamente vulneráveis são máquinas de arquitetura SPARC, rodando versões 6 ou 7 do sistema operacional Solaris.

Para verificar-se se a máquina está rodando tal serviço, podem ser executados os seguintes comandos:

rpcinfo -p | grep 100009
ps -ef | grep yppassword

Não foi ainda divulgada oficialmente pela Sun correção a este problema. Assim, lembre-se da importância de bloqueiar no firewall acesso aos servicos RPC, de modo a permitir apenas acesso local. Sendo que mesmo tendo tomado esta providência, ainda existe a possibilidade de ataque interno, recomenda-se desabilitar este serviço temporariamente.

Segundo o próprio alerta do SANS, existiria ainda uma outra forma de contornar este problema, no entanto, o CAIS não tem como garantir sua eficácia ou qualquer problema que possa ocorrer da sua utilização.

A regra do Snort que detecta a tentativa de explorar esta vulnerabilidade segue:

Snort 1.7:

alert UDP $EXTERNAL any -> $INTERNAL 32771: (msg:
"IDS543/rpc.yppasswdd-solaris-mray"; rpc: 100068,,; content: "|801c4011
20bfffff 20bfffff 7fffffff 9003e050|";)

Segue um exemplo do log de uma tentativa de acesso:

May 9 13:56:56 victim-system yppasswdd[191]: yppasswdd: user
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@L
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@P"
`"?-"?-"?-"? ; /bin/sh-c echo 'rje stream tcp nowait root /bin/sh sh
- -i'>z;/usr/sbin/inetd -s z;rm z;: does not exist



Centro de Atendimento a Incidentes de Segurança


Referências:

SANS Institute: Solaris yppassword buffer overflow

SANS-200105.txt download do arquivo

formato: text/plain



Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais