RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

CERT Advisory CA-2002-11

Heap Overflow in cachefsd

[CERT/CC, 06.05.2002, revisão 01]


O CAIS está repassando o alerta do CERT/CC, CERT Advisory CA-2002-11 Heap Overflow in Cachefs Daemon, tratando de uma vulnerabilidade no daemon de Cachefs (cachefsd) que integra o NFS/RPC da Sun.

A vulnerabilidade identificada permite ao atacante executar código arbitrário com o mesmo privilégio do daemon cachefs, geralmente root.

Os logs gerados pela tentativa de exploração desta vulnerabilidade são semelhantes ao trecho a seguir:

May 16 22:46:08 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped

May 16 22:46:21 victim-host last message repeated 7 times

May 16 22:46:22 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Bus Error- core dumped

May 16 22:46:24 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped

May 16 22:46:56 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Bus Error - core dumped

May 16 22:46:59 victim-host last message repeated 1 time

May 16 22:47:02 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped

May 16 22:47:07 victim-host last message repeated 3 times

May 16 22:47:09 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Hangup

May 16 22:47:11 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped

Sistemas Afetados:

Sun Solaris 2.5.1, 2.6, 7, e 8 (em Plataformas SPARC e Solaris)

Correções Disponíveis:

Para corrigir o problema, deve-se aplicar o patch recomendado pelo fabricante, de acordo com o Apêndice A do alerta do Cert em anexo.

Caso o fabricante ainda não tenha disponibilizado o patch, deve-se desabilitar o daemon do cachefs no inetd.conf.

Caso não seja possível desabilitar o referido daemon, deve-se seguir as sugestões de workaround para o problema, citadas no alerta da Sun.

Maiores informações:

http://www.cert.org/advisories/CA-2002-11.html

http://www.auscert.org.au/

http://sunsolve.sun.com/

Identificador do CVE (http://cve.mitre.org): CAN-2002-0085

O CAIS recomenda aos administradores que verifiquem seus sistemas em relação a esta vulnerabilidade, procedendo com as devidas atualizações e correções urgentemente.



Centro de Atendimento a Incidentes de Segurança

Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais