首页 -> 安全研究
安全研究
安全漏洞
SGI IRIX rpc.xfsmd认证不够强壮漏洞
发布日期:2002-06-20
更新日期:2002-06-25
受影响系统:
SGI IRIX xfsmd描述:
- SGI IRIX 6.5.9m
- SGI IRIX 6.5.9f
- SGI IRIX 6.5.9
- SGI IRIX 6.5.8m
- SGI IRIX 6.5.8f
- SGI IRIX 6.5.8
- SGI IRIX 6.5.7m
- SGI IRIX 6.5.7f
- SGI IRIX 6.5.7
- SGI IRIX 6.5.6m
- SGI IRIX 6.5.6f
- SGI IRIX 6.5.6
- SGI IRIX 6.5.5m
- SGI IRIX 6.5.5f
- SGI IRIX 6.5.5
- SGI IRIX 6.5.4m
- SGI IRIX 6.5.4f
- SGI IRIX 6.5.4
- SGI IRIX 6.5.3m
- SGI IRIX 6.5.3f
- SGI IRIX 6.5.3
- SGI IRIX 6.5.2m
- SGI IRIX 6.5.2f
- SGI IRIX 6.5.2
- SGI IRIX 6.5.16
- SGI IRIX 6.5.15m
- SGI IRIX 6.5.15f
- SGI IRIX 6.5.15
- SGI IRIX 6.5.14m
- SGI IRIX 6.5.14f
- SGI IRIX 6.5.14
- SGI IRIX 6.5.13m
- SGI IRIX 6.5.13f
- SGI IRIX 6.5.13
- SGI IRIX 6.5.12m
- SGI IRIX 6.5.12f
- SGI IRIX 6.5.12
- SGI IRIX 6.5.11m
- SGI IRIX 6.5.11f
- SGI IRIX 6.5.11
- SGI IRIX 6.5.10m
- SGI IRIX 6.5.10f
- SGI IRIX 6.5.10
- SGI IRIX 6.5.1
- SGI IRIX 6.5
- SGI IRIX 6.4
- SGI IRIX 6.3
BUGTRAQ ID: 5072
CVE(CAN) ID: CVE-2002-0359
Xfsmd守护程序是一款由SGI公司分发的xfs文件系统和磁盘卷管理程序,Xfsmd处理文件系统的建立、挂接和卸除,Xfsmd在IRIX操作系统中作为RPC符号号391016注册,在所有IRIX系统6.2版本到6.5.16版本中默认安装。
Xfsmd服务的RPC验证机制不够强壮,远程攻击者可以利用这个漏洞在远程主机系统上挂接、卸除、删除或者修改任何XFS文件系统。
Xfsmd服务的RPC验证机制基于简单的AUTH_UNIX RPC类型,此验证机制可以很容易绕过,攻击者可以利用这个漏洞远程调用危险的RPC函数,其中包括允许进行挂接、卸除、删除或者修改XFS文件系统,类似等于获得root权限。
LSD提供的利用程序通过xfsexport_1() RPC调用迫使xfsmd以所有人可读写的方式导出任意文件系统,除了这个函数,其他几个函数也可以在绕过AUTH_UNIX验证机制后远程调用,如下所示:
xfscreate_1() - 允许建立新的文件系统
xfsedit_1() - 允许修改文件系统
xfsexport_1() - 允许导出文件系统
xfsmount_1() - 允许挂接文件系统
xfsdelete_1() - 允许删除文件系统
要判断xfsmd是否安装,执行如下命令:
# versions eoe.sw.xfsmserv
I = Installed, R = Removed
Name Date Description
I eoe 08/28/2001 IRIX Execution Environment, 6.5.13f
I eoe.sw 08/28/2001 IRIX Execution Environment Software
I eoe.sw.xfsmserv 08/28/2001 XFSM Server Software
<*来源:Last Stage of Delirium (contact@lsd-pl.net)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-06/0252.html
http://archives.neohapsis.com/archives/bugtraq/2002-06/0247.html
ftp://patches.sgi.com/support/free/security/advisories/20020605-01-I
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 禁止此程序的使用。
1、切换自己的身份到root用户
$ su -
#
2、杀掉xfsmd进程
# killall /usr/etc/xfsmd
3、编辑配置文件,使系统重启以后不再自动启动程序
# vi /etc/inetd.conf
找到文件中如下的行:
sgi_xfsmd/1 stream rpc/tcp wait root ?/usr/etc/xfsmd xfsmd
将其注释掉:
#sgi_xfsmd/1 stream rpc/tcp wait root ?/usr/etc/xfsmd xfsmd
重启inetd:
# killall -HUP inetd
4、如果想完全删除此程序,可使用如下的命令
# versions remove eoe.sw.xfsmserv
厂商补丁:
SGI
---
SGI已经为此发布了一个安全公告(20020605-01-I)以及相应补丁:
20020605-01-I:xfsmd vulnerability
链接:ftp://patches.sgi.com/support/free/security/advisories/20020605-01-I
漏洞信息:
系统版本 是否受影响 补丁号 备注
---------- ----------- ------- -------------
IRIX 3.x 未知 备注 1
IRIX 4.x 未知 备注 1
IRIX 5.x 未知 备注 1
IRIX 6.0.x 未知 备注 1
IRIX 6.1 未知 备注 1
IRIX 6.2 未知 备注 1
IRIX 6.3 未知 备注 1
IRIX 6.4 未知 备注 1
IRIX 6.5 是 备注 2 & 3
IRIX 6.5.1 是 备注 2 & 3
IRIX 6.5.2 是 备注 2 & 3
IRIX 6.5.3 是 备注 2 & 3
IRIX 6.5.4 是 备注 2 & 3
IRIX 6.5.5 是 备注 2 & 3
IRIX 6.5.6 是 备注 2 & 3
IRIX 6.5.7 是 备注 2 & 3
IRIX 6.5.8 是 备注 2 & 3
IRIX 6.5.9 是 备注 2 & 3
IRIX 6.5.10 是 备注 2 & 3
IRIX 6.5.11 是 备注 2 & 3
IRIX 6.5.12 是 备注 2 & 3
IRIX 6.5.13 是 备注 2 & 3
IRIX 6.5.14 是 备注 2 & 3
IRIX 6.5.15 是 备注 2 & 3
IRIX 6.5.16 是 备注 2 & 3
备注:
1) 这个版本的IRIX系统已经不再被维护了,请升级到受支持的版本,参看 http://support.sgi.com/irix/news/index.html#policy 来获得更多的信息。
2) 如果你还未收到一张IRIX 6.5.x for IRIX 6.5的CD,请联系SGI的支持部门,访问:http://support.sgi.com/irix/swupdates/ 。
3) 关闭或者反安装程序。
SGI不再为这个问题提供补丁,因为此程序已经不再被维护了。请卸载此程序。
浏览次数:3343
严重程度:0(网友投票)
绿盟科技给您安全的保障