各位
JPCERT-AT-2001-0024
JPCERT/CC
2001-10-09
<<< JPCERT/CC Alert 2001-10-09 >>>
CDE ToolTalk に含まれる脆弱性に関する注意喚起
Format String Vulnerability in CDE ToolTalk
http://www.jpcert.or.jp/at/2001/at010024.txt
I. 概要
Common Desktop Environment (CDE) の ToolTalk RPC データベースサーバ
プログラム rpc.ttdbserverd に、遠隔から攻撃可能な脆弱性が発見されまし
た。結果として、第三者が遠隔から root 権限を取得できる可能性があります。
※ 多くの商用 UNIX では CDE と ToolTalk が標準でインストールされてい
るだけでなく、ToolTalk サービスが標準で有効になっていることがあり
ます。
II. 対象
現在のところ、この問題が存在することが確認されている OS としては以下
のものが報告されています。
HP HP-UX 10.10, 10.20, 10.24, 11.00, 11.04, 11.11
IBM AIX 4.3, 5.1
Compaq Tru64 DIGITAL UNIX v4.0f, v4.0g, v5.0a, v5.1, v5.1a
Sun Solaris 7, 8
上記以外の OS についても、この問題が存在する可能性が指摘されています。
最新の情報については以下の URL を参照してください。
CERT/CC Vulnerability Note VU#595507
Multiple implementations of CDE ToolTalk RPC Server
rpc.ttdbserverd contain format string vulnerability
http://www.kb.cert.org/vuls/id/595507
III. 解決方法
各ベンダの提供するパッチを適用してください。パッチに関する最新の情報
については以下の URL を参照してください。
http://www.kb.cert.org/vuls/id/595507
パッチを適用するのが困難または不可能な場合、もしくはパッチが公開され
ていない OS の場合は、一時的な対応として以下の方法があります。
(1) ToolTalk RPC サービスの停止
rpc.ttdbserverd の実行権限を落とします。
(例) chmod 0 rpc.ttdbserverd
更に、プロセスとして実行されている場合は、それを kill してください。
(2) パケットフィルタリング
ルータなどのフィルタリング機能を利用して、RPC portmapper サービス
(111/tcp, 111/udp) と ToolTalk RPC サービス (692/tcp など) をブロック
することでアクセスを制限します。
※ ToolTalk RPC サービスが使用しているポート番号は rpcinfo -p と実行
することで表示されます。
アクセスを制限しても、アクセスを許可したホストおよびネットワークからの
攻撃に対しては無防備であることにご注意ください。
[関連文書]
CERT Advisory CA-2001-27
Format String Vulnerability in CDE ToolTalk
http://www.cert.org/advisories/CA-2001-27.html
CIAC Bulletin M-002
Multi-Vendor format String Vulnerability in ToolTalk Service
http://www.ciac.org/ciac/bulletins/m-002.shtml
Internet Security Systems Security Advisory
Multi-Vendor Format String Vulnerability in ToolTalk Service
http://xforce.iss.net/alerts/advise98.php
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡下さい。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ