RNP > Serviços > Segurança em redes > Alertas do CAIS

CERT Advisory CA-2000-17

Nova vulnerabilidade detectada no rpc.statd

[CERT/CC, 18.08.2000, revisão 01]

O CAIS está repassando o alerta divulgado recentemente pelo CERT/CC, Input Validation Problem In rpc.statd, disponível em:

http://www.cert.org/advisories/CA-2000-17.html

Tal alerta trata de uma nova vulnerabilidade detectada no rpc.statd (parte do pacote nfs-utils). O pacote é encontrado em varias distribuições Linux, sendo o rpc.statd um RPC server que implementa o "Network Status and Monitor protocol", utilizado pelo "Network File System" (NFS).

O rpc.statd repassa dados para o syslog, a partir de dados enviados pelo usuário, portanto a vulnerabilidade permite a execução de comandos arbitrários, inclusive remotamente. Isto se torna possível graças a uma falha no formato de string utilizado quando é chamada a função syslog(), permitindo que um usuário mal intencionado construa uma string contendo código executável malicioso, injetando-a no espaço do processo statd, forcando o programa a executar o código.

Algumas distribuições, como Conectiva, RedHat e Debian anunciaram alertas a respeito, porém presume-se que qualquer distribuição linux que contenha o rpc.statd seja vulnerável, a menos que utilize uma versão que já tenha corrigido o problema.

O CAIS recomenda que seja feito o upgrade do rpc.statd (pacote nfs-utils) para a versão mais atual; para tanto, consulte as informações sobre upgrade na lista de referências em anexo. Apos o upgrade, certifique-se de reinicializar o servico rpc.statd.

Finalmente, o CAIS recomenda que sejam verificadas as regras do firewall, bloqueando portas desnecessárias, em particular a 111 (portmapper), assim como a porta que estiver associada ao rpc.statd.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais