NBSO - NIC BR Security Office
CGI.br - Comitê Gestor da Internet no Brasil
Chave PGP: http://www.nbso.nic.br/pgp/nbso@nic.br.asc

Tradução dos Advisories do CERT/CC, com permissão especial do Software Engineering Institute (SEI).

CERT^® Advisory CA-2002-20 Múltiplas Vulnerabilidades no CDE ToolTalk

Data original de lançamento: 10 de julho de 2002
Última Revisão: --
Origem: CERT/CC

Um histórico completo das revisões pode ser encontrado ao final deste documento.

Sistemas Afetados

• Sistemas que utilizam o CDE ToolTalk

Resumo

Foram descobertas duas vulnerabilidades no servidor de banco de dados do CDE (Common Desktop Environment) ToolTalk RPC. A primeira vulnerabilidade pode ser utilizada por um atacante remoto para apagar arquivos arbitrários, causar negação de serviço ou possivelmente executar código ou comandos arbitrários. A segunda vulnerabilidade pode permitir a um atacante local sobrescrever arquivos arbitrários com conteúdo de sua escolha.

I. Descrição

O CDE (Common Desktop Environment) é uma interface gráfica integrada para os sistemas operacionais UNIX e Linux. O CDE Tooltalk é um sistema de troca de mensagens que provê uma arquitetura de comunicação entre aplicações, através de hosts e plataformas. O servidor de banco de dados do ToolTalk RPC, rpc.ttdbserverd, gerencia a comunicação entre aplicativos Tooltalk. Para mais informações sobre o CDE, veja:

http://www.opengroup.org/cde/

http://www.opengroup.org/desktop/faq/

Este Advisory refere-se a duas novas vulnerabilidades no servidor de banco de dados do CDE ToolTalk RPC. Estas vulnerabilidades estão resumidas abaixo e são descritas com mais detalhes em suas respectivas Vulnerability Notes. Uma lista de problemas previamente documentados do CDE pode ser encontrada no Apêndice B.

VU#975403 - O servidor de banco de dados do CDE (Common Desktop Environment) ToolTalk RPC (rpc.ttdbserverd) não valida adequadamente o descritor de arquivo passado para a rotina _TT_ISCLOSE()

O servidor de banco de dados do ToolTalk RPC não valida a faixa de valores de um argumento passado para a rotina _TT_ISCLOSE(). Como resultado, certas partes da memória podem ser sobrescritas com zeros. Para mais informações veja a VU#975403:

• http://www.kb.cert.org/vuls/id/975403

O CVE (Common Vulnerabilities and Exposures) associou a identificação CAN-2002-0677 a esta vulnerabilidade.

VU#299816 - O servidor de banco de dados do CDE (Common Desktop Environment) ToolTalk RPC (rpc.ttdbserverd) não valida adequadamente operações com arquivos

O servidor de banco de dados do ToolTalk RPC não garante que o arquivo destino de uma operação de escrita seja um arquivo válido e não um link simbólico. Para maiores informações veja:

• http://www.kb.cert.org/vuls/id/299816

O CVE (Common Vulnerabilities and Exposures) associou a identificação CAN-2002-0678 a esta vulnerabilidade.

II. Impacto

VU#975403 - O servidor de banco de dados do CDE (Common Desktop Environment) ToolTalk RPC (rpc.ttdbserverd) não valida adequadamente o descritor de arquivo passado para a rotina _TT_ISCLOSE()

Ao chamar a rotina _TT_ISCLOSE() com um argumento especialmente preparado, um atacante remoto pode sobrescrever certas partes da memória com zeros. Utilizando-se de uma combinação de técnicas que incluem requisições ToolTalk RPC válidas, um atacante pode se aproveitar dessa vulnerabilidade para remover qualquer arquivo que possa ser acessado pelo servidor de bancos de dados do ToolTalk RPC. Como este tipicamente é executado com privilégios de root, qualquer arquivo em um sistema vulnerável pode ser removido. Sobrescrever a memória ou eliminar arquivos pode causar negação de serviço. Existe também a possibilidade de execução de código e comandos arbitrários.

VU#299816 - O servidor de banco de dados do CDE (Common Desktop Environment) ToolTalk RPC (rpc.ttdbserverd) não valida adequadamente operações com arquivos

Ao fazer referência, em certas requisições ToolTalk RPC, a um link simbólico especialmente preparado, um atacante local pode sobrescrever qualquer arquivo que possa ser acessado pelo servidor de banco de dados do ToolTalk RPC com conteúdo de sua escolha. Como este tipicamente é executado com privilégios de root, qualquer arquivo de um sistema vulnerável pode ser sobrescrito. A sobrescrita de arquivos pertencentes ao usuário root pode levar a um aumento de privilégio ou causar negação de serviço.

III. Solução

Aplicar uma correção de seu fornecedor

O apêndice A contém informações providas pelos fornecedores para este documento. À medida que os fornecedores enviarem novas informações ao CERT/CC, esta seção será atualizada e as modificações serão registradas no histórico de revisões. Se algum fornecedor em particular não estiver listado abaixo é porque não recebemos seus comentários. Contate seu fornecedor diretamente.

Desabilitar o serviço vulnerável

Até que as correções estejam disponíveis e possam ser aplicadas, considere a possibilidade de desabilitar o serviço de banco de dados do ToolTalk RPC. O CERT/CC recomenda que todos os serviços que não são explicitamente necessários sejam desabilitados. Em um sistema CDE típico deve ser possível desabilitar o rpc.ttdbserverd comentando as entradas pertinentes no arquivo/etc/inetd.conf e, se necessário, no arquivo /etc/rpc, reiniciando a seguir o processo inetd.

O número de programa associado ao servidor de banco de dados do ToolTalk RPC é 100083. Se houver alguma referência a 100083 ou a rpc.ttdbserverd nos arquivos /etc/inetd.conf ou /etc/rpc, ou nas saídas dos comandos rpcinfo(1M) e ps(1), então o servidor de banco de dados do ToolTalk RPC pode estar em execução.

O seguinte exemplo foi extraído de um sistema SunOS 5.8 (Solaris 8):

/etc/inetd.conf
...
#
# Sun ToolTalk Database Server
#
100083/1     tli   rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd
...

# rpcinfo -p
    program vers proto    port  service
    ...
    100083    1   tcp   32773
    ...


# ps -ef
     UID   PID  PPID  C    STIME TTY      TIME CMD
    ...
    root   355   164  0 19:31:27 ?        0:00 rpc.ttdbserverd
    ...

Analise cuidadosamente a configuração e os requisitos de serviço da sua rede antes de optar por desabilitar o servidor de banco de dados do ToolTalk RPC ou o serviço RPC portmapper.

Bloquear acessos ao serviço vulnerável

Até que as correções estejam disponíveis e possam ser aplicadas, considere a possibilidade de bloquear acessos ao servidor de bancos de dados do ToolTalk RPC, e possivelmente ao RPC portmapper, a partir de redes não confiáveis como a Internet. Utilize um firewall ou outro mecanismo de filtragem de pacotes para bloquear as portas apropriadas. O servidor de bancos de dados do ToolTalk RPC pode estar configurado para utilizar a porta 692/tcp ou alguma outra, como pode ser observado na saída do comando rpcinfo(1M). No exemplo acima o servidor de banco de dados do ToolTalk RPC está configurado para usar a porta 32773/tcp. Já o serviço RPC portmapper normalmente usa as portas 111/tcp e 111/udp. Tenha em mente que bloquear as portas no perímetro da sua rede não protege o serviço vulnerável de ataques originados na rede interna.

Analise cuidadosamente a configuração e os requisitos de serviço da sua rede antes de optar por bloquear ou restringir o acesso ao servidor de banco de dados do ToolTalk RPC ou ao serviço RPC portmapper.

Apêndice A. - Informações dos Fornecedores

Este apêndice contém informações providas pelos próprios fornecedores para inclusão neste documento. À medida que os fornecedores enviarem novas informações ao CERT/CC, este documento será atualizado e as modificações serão registradas no histórico de revisões. Se algum fornecedor em particular não estiver listado abaixo é porque não recebemos seus comentários.

Caldera, Inc.

O Caldera Open UNIX e o Caldera UnixWare possuem o daemon ttdbserverd, e são vulneráveis a estes problemas. Nós preparamos correções para estes dois sistemas operacionais, e as deixaremos disponíveis assim que esses problemas sejam tornados públicos.

Compaq Computer Corporation

ORIGEM: Compaq Computer Corporation, uma subsidiária da Hewlett-Packard Company e da Hewlett-Packard Company HP Services Software Security Response Team

Referência: SSRT2251

No momento a Compaq possui soluções em fase final de testes, e publicará o boletim de segurança do HP Tru64 UNIX (SSRT2251) com as informações sobre correções assim que os testes estejam completos e que os kits estejam disponíveis no site ftp de suporte.

Até que as soluções estejam disponíveis, é recomendável desabilitar o rpc.ttdbserver para contornar esta vulnerabilidade. Isto pode causar problemas somente em outras aplicações que utilizem o servidor de bancos de dados do ToolTalk RPC. Essa decisão deve levar em conta os riscos identificados, os mecanismos de segurança do seu ambiente e o possível impacto em outros produtos que utilizem o servidor de bancos de dados do ToolTalk.

Para desabilitar o rpc.ttdbserverd:

• Comente a seguinte linha no arquivo /etc/inetd.conf:

  rpc.ttdbserverd stream tcp swait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd

• Force o inetd a reler o arquivo de configuração executando o comando inetd -h

Nota: O daemon internet (inetd) deve matar o processo ativo do rpc.ttdbserverd. Se isto não ocorrer, mate qualquer processo rpc.ttdbserverd ainda existente.

Cray, Inc.

A Cray, Inc. inclui o ToolTalk no produto CrayTools. Entretanto, o rpc.ttdbserverd não é ativado ou utilizado por nenhum dos aplicativos fornecidos pela Cray. Como um site pode tê-lo ativado para seu próprio uso, ele pode sempre remover o binário /opt/ctl/bin/rpc.ttdbserverd, caso estejam preocupados.

Fujitsu

O sistema operacional UXP/V da Fujitsu não é afetado pelas vulnerabilidades anunciadas em VU#975403 [ou VU#299816] porque não possui suporte a nenhuma das funcionalidades do CDE.

Hewlett-Packard Company

Servidores HP9000 Series 700/800 com HP-UX versões 10.10, 10.20, 11.00 e 11.11 são vulneráveis.

Até que correções estejam disponíveis, substitua o rpc.ttdbserver pelo arquivo apropriado.

Obtenha o arquivo rpc.ttdbserver.tar.gz do site ftp. Esse arquivo é temporário e será apagado quando as correções estiverem disponíveis nos sites oficiais da HP, incluindo o itrc.hp.com.

Servidor:	hprc.external.hp.com (192.170.19.51)
Login:	ttdb1
Senha:	ttdb1
FTP:	ftp://ttdb1:ttdb1@hprc.external.hp.com/
	ftp://ttdb1:ttdb1@192.170.19.51/
Arquivo:	rpc.ttdbserver.tar.gz
MD5:	da1be3aaf70d0e2393bd9a03feaf4b1d

Um boletim de segurança da HP será lançado com maiores informações.

IBM Corporation

O ambiente CDE incluído no AIX é vulnerável a ambos os problemas descritos neste advisory. Isso afeta o AIX versões 4.3.3 e 5.1.0. Um pacote de "efix" estará disponível em breve no site ftp de softwares da IBM. Os pacotes de "efix" podem ser obtidos em ftp.software.ibm.com/aix/efixes/security. Este diretório contém um arquivo README que traz mais detalhes sobre os pacotes de "efix".

Os seguintes "APAR" estarão disponíveis em breve:

• AIX 4.3.3: IY32368
• AIX 5.1.0: IY32370

SGI

A SGI já tomou conhecimento das vulnerabilidades do ToolTalk anunciadas pelo CERT e está atualmente investigando o assunto. Não há outras informações disponíveis no presente momento.

Para a proteção de todos os nossos clientes, a SGI não divulga, discute ou confirma a existência de vulnerabilidades até que tenha ocorrido uma investigação completa e quaisquer correções ou "release streams" estejam disponíveis para todas as versões suportadas do IRIX que sejam vulneráveis. Até que a SGI tenha informações mais definitivas, os usuários são encorajados a considerar que todas as vulnerabilidades podem ser exploradas, e a tomar as medidas apropriadas de acordo com as políticas de segurança e requerimentos locais de seu site. Conforme as informações se tornem disponíveis, advisories adicionais serão lançados via os métodos usuais de distribuição de informações de segurança da SGI, incluindo a lista "wiretap": http://www.sgi.com/support/security/.

Sun Microsystems, Inc.

O servidor de banco de dados do ToolTalk do Solaris (baseado em RPC), rpc.ttdbserver, é suscetível às duas vulnerabilidades [VU#975403 VU#299816] descritas neste advisory, em todas as versões atualmente suportadas do Solaris:

• Solaris 2.5.1, 2.6, 7, 8, and 9

Estão sendo geradas correções para todas as versões supracitadas. A Sun publicará um Boletim de Segurança e um Alerta para esse problema. O Alerta estará disponível em:

• http://sunsolve.sun.com

As correções estarão disponíveis em:

• http://sunsolve.sun.com/securitypatch

Os Boletins de Segurança estarão disponíveis em:

• http://sunsolve.sun.com/security

Xi Graphics

O Xi Graphics deXtop CDE v2.1 é vulnerável a esse ataque. Quando anunciados, a atualização e um arquivo texto associado estarão disponíveis em:

• ftp://ftp.xig.com/pub/updates/dextop/2.1/DEX2100.016.tar.gz
  
  
• ftp://ftp.xig.com/pub/updates/dextop/2.1/DEX2100.016.txt

A maioria dos sites não precisa do servidor ToolTalk. A Xi Graphics Security recomenda que serviços não essenciais nunca estejam habilitados. Para desabilitar o servidor ToolTalk em seu sistema, edite o arquivo /etc/inetd.conf e comente, ou remova, a linha do rpc.ttdbserver. Em seguida reinicie o inetd ou reinicialize sua máquina.

Apêndice B. - Referências

• http://www.opengroup.org/cde/
• http://www.opengroup.org/desktop/faq/
• http://www.cert.org/advisories/CA-2002-01.html
• http://www.cert.org/advisories/CA-2001-31.html
• http://www.kb.cert.org/vuls/id/172583
• http://www.cert.org/advisories/CA-2001-27.html
• http://www.kb.cert.org/vuls/id/595507
• http://www.kb.cert.org/vuls/id/860296
• http://www.cert.org/advisories/CA-1999-11.html
• http://www.cert.org/advisories/CA-1998-11.html
• http://www.cert.org/advisories/CA-1998-02.html

O CERT Coordination Center agradece a Iván Arce e Ricardo Quesada, da CORE SECURITY TECHNOLOGIES, pela assistência e cooperação na produção desse documento.

Autor: Art Manion

Informações de Contato do CERT/CC

Email: cert@cert.org

Telefone: +1 412-268-7090 (Hotline 24 horas)

Fax: +1 412-268-6989

Endereço para correspondência:

CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.

O pessoal do CERT/CC atende ao hotline no período das 8:00 às 17:00h EST(GMT-5), de segunda a sexta-feira; nos demais períodos eles atendem em esquema emergencial, incluindo finais de semana e feriados dos Estados Unidos.

Utilização de criptografia

Nós recomendamos fortemente que informações sensíveis sejam criptogradas ao serem enviadas por email. Nossa chave pública PGP está disponível em:

• http://www.cert.org/CERT_PGP.key

Se você preferir utilizar DES, por favor telefone para o hotline do CERT para obter maiores informações.

Obtendo informações sobre segurança

As publicações do CERT e outras informações sobre segurança estão disponíveis em nosso site:

• http://www.cert.org/

Para inscrever-se na lista de advisories e boletins do CERT, envie um email para majordomo@cert.org, incluindo o seguinte no corpo da sua mensagem:

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

Translations of CERT/CC Advisories, (c) 2002 by Carnegie Mellon University, with special permission from the Software Engineering Institute.

Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation.

NBSO shall ensure that all translated materials incorporate the CERT/CC logos, service marks, and/or trademarks, as well as a link to the original English version on the CERT web site (www.cert.org).

NBSO shall ensure that all translated materials are translated in their entirety and that the SEI will be notified of which CERT/CC Advisories are being translated. Notifications go to cert@cert.org.

NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU in tellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property.

Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction.

No Endorsement. The SEI and CMU do not directly or indirectly endorse NBSO work.

Translations of CMU/SEI copyrighted material are not official SEI-authorized translations. NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document.

This permission is granted on a non-exclusive basis for non-commercial purposes.

Conditions for use, disclaimers, and sponsorship information

Copyright 2002 Carnegie Mellon University.

Histórico de Revisões
10 de julho de 2002: Lançamento da versão inicial