martes, 20 de agosto de 2002

Nueva vulnerabilidad en ToolTalk

Las versiones no actualizadas del módulo ToolTalk del entorno CDE son
susceptibles a una vulnerabilidad que permite que un atacante remoto
pueda realizar una denegación de servicio o ejecutar código arbitrario
en el servidor.
CDE (Common Desktop Environemnt) es un entorno gráfico de usuario que
funciona en multitud de plataformas Unix (incluyendo Solaris, Compaq,
AIX, Linux y otros sistemas operativos). ToolTalk facilita la
infraestructura necesaria para el intercambio de información entre
múltiples aplicaciones y sistemas que ejecuten CDE.

Las versiones sin actualizar de ToolTalk contienen una vulnerabilidad
que permite que un atacante remoto realice un ataque de denegación de
servicio o, incluso, ejecute código arbitrario en el servidor con
privilegios, típicamente, de administrador o "root".

El problema reside en un desbordamiento de búfer en la rutina RPC
"_TT_CREATE_FILE()". Dado que dicho desbordamiento no ocurre en la pila
de la CPU, el servidor será vulnerable aunque el sistema no permita
ejecutar código en la pila.

Lo más recomendable, por supuesto, es actualizar el servidor ToolTalk
con el parche correspondiente del fabricante. Si ello no es posible, y
no se está utilizando las funcionalidades ToolTalk en producción, se
puede deshabilitar el servicio editando el fichero "/etc/inetd.conf" o
similar de nuestro sistema operativo, donde debemos eliminar las líneas
del tipo:

100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd
rpc.ttdbserverd

También debe eliminarse el proceso en memoria, que aparecerá de forma
semejante a:

# ps -ef
UID PID PPID C STIME TTY TIME CMD
...
root 355 164 0 19:31:27 ? 0:00 rpc.ttdbserverd
...

En caso de requerir el servicio ToolTalk y no disponer de parche, al
menos debemos disponer de medidas perimetrales como cortafuegos o reglas
de acceso en los "routers", para limitar la posibilidad de que un
atacante externo acceda a nuestros sistemas empleando estas
vulnerabilidades. Es importante recordar que dichas medidas deben ser
siempre temporales, y que no nos protegen de posibles atacantes en
nuestra propia intranet.

La mayoría de los fabricantes que utilizan DCE ya han publicado
actualizaciones de seguridad del servicio. Revise el estado de los
parches pendientes de aplicación en su sistema operativo.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT® Advisory CA-2002-26 Buffer Overflow in CDE ToolTalk
http://www.cert.org/advisories/CA-2002-26.html

Buffer Overflow en CDE ToolTalk
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-026.html

Vulnerability Note VU#387387
Common Desktop Environment (CDE) ToolTalk RPC database server
(rpc.ttdbserverd) vulnerable to buffer overflow via _TT_CREATE_FILE()
http://www.kb.cert.org/vuls/id/387387

Entercept Security Alert
Multi-Vendor Remote Buffer Overflow Vulnerability in CDE ToolTalk
Database Server
http://www.entercept.com/news/uspr/08-12-02.asp

Buffer overflow in Common Desktop Environment (CDE) ToolTalk RPC
database server (rpc.ttdbserverd) allows remote attackers to execute
arbitrary code via an argument to the _TT_CREATE_FILE procedure.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0679

Multiple Vendor CDE ToolTalk Database Server Heap Corruption
Vulnerability
http://online.securityfocus.com/bid/5444

What is the Common Desktop Environment (CDE)?
http://www.opengroup.org/cde/

CDE FAQ
http://www.opengroup.org/desktop/faq/

18/07/2002 - Vulnerabilidad en CDE ToolTalk
http://www.hispasec.com/unaaldia.asp?id=1362