Risque

  • Compromission du système

Systèmes affectés

Tous les systèmes utilisant CDE (Common Desktop Environment).

Résumé

Une vulnérabilité du démon dtspcd sous CDE, décrite dans l'avis CERTA-2001-AVI-139, est massivement exploitée.

Description

Le démon dtspcd permet d'exécuter des applications à distance. Ce démon est par défaut en écoute sur le port 6112/tcp. Une vulnérabilité de ce démon récemment découverte est actuellement exploitée pour prendre le contrôle de machines à distance. Les symptômes d'une compromission par cette faille peuvent être l'ajout de fichiers dans le répertoire /usr/lib/ (par exemple, le fichier /usr/lib/libchetnix.a), ainsi que dans le répertoire /tmp/ (par exemple, le fichier /tmp/.fakex), ou encore des connexions rcp sortantes intempestives.

Contournement provisoire

Filtrer le port 6112/tcp au niveau du garde-barrière. Si le service dtspc n'est pas nécessaire, le désactiver dans le fichier /etc/inetd.conf. Sinon, paramètrer tcp-wrappers pour n'autoriser que certaines machines à se connecter à ce service.

Solution

Mettre en place les correctifs proposés par votre éditeur.

Documentation