| SANS Institute: Solaris yppassword buffer overflowVulnerabilidade remota encontrada no 'yppassword' [SANS Institute, 11.05.2001, revisão 01] O CAIS está repassando (em anexo) alerta divulgado pelo Instituto SANS sobre vulnerabilidade remota encontrada no 'yppassword', serviço encontrado nos sistemas Solaris que permite alterar as senhas de rede na base de dados NIS. No momento, os sistemas comprovadamente vulneráveis são máquinas de arquitetura SPARC, rodando versões 6 ou 7 do sistema operacional Solaris. Para verificar-se se a máquina está rodando tal serviço, podem ser executados os seguintes comandos: rpcinfo -p | grep 100009 Não foi ainda divulgada oficialmente pela Sun correção a este problema. Assim, lembre-se da importância de bloqueiar no firewall acesso aos servicos RPC, de modo a permitir apenas acesso local. Sendo que mesmo tendo tomado esta providência, ainda existe a possibilidade de ataque interno, recomenda-se desabilitar este serviço temporariamente. Segundo o próprio alerta do SANS, existiria ainda uma outra forma de contornar este problema, no entanto, o CAIS não tem como garantir sua eficácia ou qualquer problema que possa ocorrer da sua utilização. A regra do Snort que detecta a tentativa de explorar esta vulnerabilidade segue: Snort 1.7: alert UDP $EXTERNAL any -> $INTERNAL 32771: (msg: Segue um exemplo do log de uma tentativa de acesso: May 9 13:56:56 victim-system yppasswdd[191]: yppasswdd: user | Contato com o Cais: +55 (19) 3787-3300 |