{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Tous les syst\u00e8mes Solaris de 2.3 \u00e0 7 non mis \u00e0 jour.","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Tous les syst\u00e8mes avec les versions 4.0 et 5.0 non mises \u00e0 jour de Internet Information Server (IIS) ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"closed_at":"2001-05-09","content":"## Description\n\nCe nouveau ver exploite deux failles assez connues pour se propager.\n\nIl se propage sur les syst\u00e8mes Solaris par la vuln\u00e9rabilit\u00e9 de sadmind\nconnue depuis d\u00e9cembre 1999.\n\nApr\u00e8s avoir pirat\u00e9 le syst\u00e8me Solaris, le ver ajoute la ligne \u00ab + + \u00bb\ndans le fichier .rhosts qui se trouve dans le r\u00e9pertoire de\nl'utilisateur root.\n\nIl installe ensuite des outils pour exploiter la vuln\u00e9rabilit\u00e9 d'IIS\nconnue depuis octobre 2000 (sous le nom \"Web Server Folder Traversal\").\n\nIl modifie ensuite le fichier index.html du syst\u00e8me sur lequel il se\ntrouve apr\u00e8s avoir pirat\u00e9 2000 serveurs IIS.\n\nUn syst\u00e8me Solaris compromis par ce ver contient normalement :\n\n-   Une fenetre de commande avec les privil\u00e8ges administrateur en \u00e9coute\n    sur le port 600/tcp ;\n-   le r\u00e9pertoire /dev/cub qui contient des logs de machines pirat\u00e9es ;\n-   le r\u00e9pertoire /dev/cuc qui contient les outils d'attaque.\n\n## Contournement provisoire\n\nVeiller \u00e0 bloquer le trafic \u00e0 destination du port 111/tcp (sunrpc -\nportmapper, n\u00e9cessaire \u00e0 l'exploitation de la faille sadmind).\n\n## Solution\n\nAppliquer les patches correctifs qui se trouvent sur les liens :\n\n-   Pour IIS 4.0 :\n\n        http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp\n\n-   Pour IIS 5.0 :\n\n        http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp\n\n-   Pour sadmind :\n\n        http://www.sunsolve.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba\n\n-   Si la machine est compromise, prendre contact avec le CERTA.\n","cves":[],"links":[],"reference":"CERTA-2001-ALE-007","revisions":[{"description":"version initiale.","revision_date":"2001-05-09T00:00:00.000000"}],"risks":[{"description":"Compromission des machines solaris avec sadmind et windows avec iis"}],"summary":"Un nouveau ver se propage en exploitant des vuln\u00e9rabilit\u00e9s assez\nanciennes de Sun Solaris et de IIS. Celui-ci permet l'obtention de\nprivil\u00e8ges administrateur \u00e0 distance.\n","title":"Propagation d'un ver affectant sadmind et IIS","vendor_advisories":[{"published_at":null,"title":"CERT-CC","url":"http://www.cert.org/advisories/CA-2001-11.html"}]}