Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-855

[SGI/IRIX] Schwachstelle im xfsmd
(2002-06-29 14:38:11.402751+00)

Quelle: http://cert.uni-Stuttgart.DE/archive/bugtraq/2002/06/msg00264.html

Der Dämon xfsmd unter SGI IRIX 6.5.x weist Schwachstellen auf, durch die Angreifer unter anderem beliebigen Programmcode mit root-Privilegien ausführen können.

Betroffene Systeme

Einfallstor
RPC-Requests an den xfsmd-Dienst (Service-Nummer 391016)

Auswirkung
Ausführung beliebigen Programmcodes mit root-Privilegien
(remote root compromise)

Typ der Verwundbarkeit
remote shell script injection

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der RPC-Dämon xfsmd ruft zur Bearbeitung von RPC-Anfragen externe Programme auf. Dazu wird die C-Funktion popen verwendet. Parameter aus dem RPC-Request werden unverändert an die popen-Funktion weitergereicht. Die an popen übergebene Zeichenkette wird jedoch von der System-Shell /bin/sh interpetiert. Ein Angreifer kann dadurch beliebige Shell-Skripte mit root-Rechten auf einem verwundbaren System ausführen und so leicht das System als ganzes kompromittieren (remote root compromise).

Feststellen der Verwundbarkeit
Geben Sie folgenden Befehl ein, um festzustellen, ob xfsmd installiert ist:

# versions eoe.sw.xfsmserv
Dies Ausgabe sieht eventuell wie folgt aus:
Name                  Date        Description

I  eoe                08/28/2001  IRIX Execution Environment, 6.5.13f
I  eoe.sw             08/28/2001  IRIX Execution Environment Software
I  eoe.sw.xfsmserv    08/28/2001  XFSM Server Software
wobei durch das vorangestellte "I" angegeben wird, dass diese Paket installiert ist. Wird hingeben "R" ausgegeben, wurde das Paket entfernt.

Workaround
Deaktivieren Sie den xfsmd indem sie ihn in der /etc/inetd.conf auskommentieren:

  1. Öffnen Sie als Benutzer root die Datei /etc/inetd.conf mit dem Editor vi:
    # vi /etc/inetd.conf
    
  2. Suchen Sie dort nach einer Zeile mit folgendem Inhalt:
    sgi_xfsmd/1 stream  rpc/tcp wait root ?/usr/etc/xfsmd xfsmd
    
    und setzen ein "#" zum Auskommentieren vorran:
    # sgi_xfsmd/1 stream  rpc/tcp wait root ?/usr/etc/xfsmd xfsmd
    
  3. Danach muss der inetd neu gestartet werden:
    # killall -HUP inetd
    
  4. Schließlich müssen alle xfsmd-Prozesse beendet werden:
    # killall /usr/etc/xfsmd
    
  5. Zur Sicherheit sollten Sie das verwundbare Programm vom System löschen:
    # versions remove eoe.sw.xfsmserv
    

Gegenmaßnahmen
Patches zur Behebung dieser Schwachstelle werden nicht zur Verfügung gestellt, da das Produkt nicht mehr gepflegt wird.

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=855