[SGI/IRIX] Schwachstelle im xfsmd
(2002-06-29 14:38:11.402751+00)
Quelle:
http://cert.uni-Stuttgart.DE/archive/bugtraq/2002/06/msg00264.htmlDer Dämon xfsmd unter SGI IRIX 6.5.x weist Schwachstellen auf, durch die Angreifer unter anderem beliebigen Programmcode mit root-Privilegien ausführen können.
Betroffene Systeme
- IRIX 6.5 incl. Version 6.5.16
- Frühere Versionen als IRIX 6.5 werden nicht weiter unterstützt, eine Verwundbarkeit gegen diese Schwachstelle kann nicht ausgeschlossen werden.
Einfallstor
RPC-Requests an den xfsmd-Dienst (Service-Nummer 391016)
Auswirkung
Ausführung beliebigen Programmcodes mit root-Privilegien
(remote root compromise)
Typ der Verwundbarkeit
remote shell script injection
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Der RPC-Dämon xfsmd ruft zur Bearbeitung von RPC-Anfragen externe Programme auf. Dazu wird die C-Funktion popen verwendet. Parameter aus dem RPC-Request werden unverändert an die popen-Funktion weitergereicht. Die an popen übergebene Zeichenkette wird jedoch von der System-Shell /bin/sh interpetiert. Ein Angreifer kann dadurch beliebige Shell-Skripte mit root-Rechten auf einem verwundbaren System ausführen und so leicht das System als ganzes kompromittieren (remote root compromise).
Feststellen der Verwundbarkeit
Geben Sie folgenden Befehl ein, um festzustellen, ob xfsmd installiert ist:
Dies Ausgabe sieht eventuell wie folgt aus:# versions eoe.sw.xfsmserv
Name Date Description I eoe 08/28/2001 IRIX Execution Environment, 6.5.13f I eoe.sw 08/28/2001 IRIX Execution Environment Software I eoe.sw.xfsmserv 08/28/2001 XFSM Server Softwarewobei durch das vorangestellte "I" angegeben wird, dass diese Paket installiert ist. Wird hingeben "R" ausgegeben, wurde das Paket entfernt.
Workaround
Deaktivieren Sie den xfsmd indem sie ihn in der /etc/inetd.conf auskommentieren:
- Öffnen Sie als Benutzer
rootdie Datei/etc/inetd.confmit dem Editorvi:# vi /etc/inetd.conf
- Suchen Sie dort nach einer Zeile mit folgendem Inhalt:
und setzen ein "sgi_xfsmd/1 stream rpc/tcp wait root ?/usr/etc/xfsmd xfsmd
#" zum Auskommentieren vorran:# sgi_xfsmd/1 stream rpc/tcp wait root ?/usr/etc/xfsmd xfsmd
- Danach muss der
inetdneu gestartet werden:# killall -HUP inetd
- Schließlich müssen alle
xfsmd-Prozesse beendet werden:# killall /usr/etc/xfsmd
- Zur Sicherheit sollten Sie das verwundbare Programm vom System löschen:
# versions remove eoe.sw.xfsmserv
Gegenmaßnahmen
Patches zur Behebung dieser Schwachstelle werden nicht zur Verfügung gestellt, da das Produkt nicht mehr gepflegt wird.
Vulnerability ID
Weitere Information zu diesem Thema
- IRIX xfsmd vulnerability (BUGTRAQ)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=855