susceptibles a una vulnerabilidad que permite que un atacante remoto
pueda realizar una denegación de servicio o ejecutar código arbitrario
en el servidor.
CDE (Common Desktop Environemnt) es un entorno gráfico de usuario que
funciona en multitud de plataformas Unix (incluyendo Solaris, Compaq,
AIX, Linux y otros sistemas operativos). ToolTalk facilita la
infraestructura necesaria para el intercambio de información entre
múltiples aplicaciones y sistemas que ejecuten CDE.
Las versiones sin actualizar de ToolTalk contienen una vulnerabilidad
que permite que un atacante remoto realice un ataque de denegación de
servicio o, incluso, ejecute código arbitrario en el servidor con
privilegios, típicamente, de administrador o "root".
El problema reside en un desbordamiento de búfer en la rutina RPC
"_TT_CREATE_FILE()". Dado que dicho desbordamiento no ocurre en la pila
de la CPU, el servidor será vulnerable aunque el sistema no permita
ejecutar código en la pila.
Lo más recomendable, por supuesto, es actualizar el servidor ToolTalk
con el parche correspondiente del fabricante. Si ello no es posible, y
no se está utilizando las funcionalidades ToolTalk en producción, se
puede deshabilitar el servicio editando el fichero "/etc/inetd.conf" o
similar de nuestro sistema operativo, donde debemos eliminar las líneas
del tipo:
100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd
rpc.ttdbserverd
También debe eliminarse el proceso en memoria, que aparecerá de forma
semejante a:
# ps -ef
UID PID PPID C STIME TTY TIME CMD
...
root 355 164 0 19:31:27 ? 0:00 rpc.ttdbserverd
...
En caso de requerir el servicio ToolTalk y no disponer de parche, al
menos debemos disponer de medidas perimetrales como cortafuegos o reglas
de acceso en los "routers", para limitar la posibilidad de que un
atacante externo acceda a nuestros sistemas empleando estas
vulnerabilidades. Es importante recordar que dichas medidas deben ser
siempre temporales, y que no nos protegen de posibles atacantes en
nuestra propia intranet.
La mayoría de los fabricantes que utilizan DCE ya han publicado
actualizaciones de seguridad del servicio. Revise el estado de los
parches pendientes de aplicación en su sistema operativo.
Jesús Cea Avión
jcea@hispasec.com
jcea@hispasec.com
Más información:
CERT® Advisory CA-2002-26 Buffer Overflow in CDE ToolTalk
http://www.cert.org/advisories/CA-2002-26.html
Buffer Overflow en CDE ToolTalk
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-026.html
Vulnerability Note VU#387387
Common Desktop Environment (CDE) ToolTalk RPC database server
(rpc.ttdbserverd) vulnerable to buffer overflow via _TT_CREATE_FILE()
http://www.kb.cert.org/vuls/id/387387
Entercept Security Alert
Multi-Vendor Remote Buffer Overflow Vulnerability in CDE ToolTalk
Database Server
http://www.entercept.com/news/uspr/08-12-02.asp
Buffer overflow in Common Desktop Environment (CDE) ToolTalk RPC
database server (rpc.ttdbserverd) allows remote attackers to execute
arbitrary code via an argument to the _TT_CREATE_FILE procedure.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0679
Multiple Vendor CDE ToolTalk Database Server Heap Corruption
Vulnerability
http://online.securityfocus.com/bid/5444
What is the Common Desktop Environment (CDE)?
http://www.opengroup.org/cde/
CDE FAQ
http://www.opengroup.org/desktop/faq/
18/07/2002 - Vulnerabilidad en CDE ToolTalk
http://www.hispasec.com/unaaldia.asp?id=1362
