Objet: vulnérabilités de RPC.statd sous Unix

Résumé

Le daemon RPC.statd intervient dans le fonctionnement du service NFS sous Unix. Ce daemon possède une vulnérabilité permettant à un utilisateur distant d'éxécuter du code ou d'accéder à un shell avec les privilèges root.

Les exploits utilisant les vulnérabilités de RPC.statd se multiplient toujours.

Description

Le Daemon RPC.statd passe des informations fournies par les utilistaeur du service à la fonction syslog() (journalisation) et manipule des fichiers avec les privilèges de root par défaut. Un défaut dans la conception de ce daemon permet à un utilisateur mal intentionné d'injecter dans les données transmise à syslog du code executable avec les privilèges de RPC.statd (typiquement ceux de root).

Contournement provisoire

Désactiver RPC.statd ou NFS s'il n'est pas utile au fonctionnement du système et des réseaux.

Solution

Mettre à jour RPC.statd selon le système que vous avez :

• Connectiva Linux 5.1:

  ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/5.1/i386/nfs-utils-0.1.9.1-4cl.i386.rpm
  

• Connectiva Linux 5.0:

  ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/5.0/i386/nfs-utils-0.1.9.1-3cl.i386.rpm
  

• Connectiva Linux 4.2:

  ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.2/i386/nfs-utils-0.1.9.1-3cl.i386.rpm
  

• Connectiva Linux 4.1:

  ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.1/i386/nfs-utils-0.1.9.1-3cl.i386.rpm
  

• Connectiva Linux 4.0es:

  ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.0es/i386/nfs-utils-0.1.9.1-3cl.i386.rpm
  

• Connectiva Linux 4.0:

  ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.0/i386/nfs-utils-0.1.9.1-3cl.i386.rpm
  

• Debian Linux pour powerpc:

  http://http.us.debian.org/debian/dists/unstable/main/binary-powerpc/net/nfs-common_0.1.9.1-1.deb
  

• Debian Linux pour PC:

  http://http.us.debian.org/debian/dists/unstable/main/binary-i386/net/nfs-common_0.1.9.1-1.deb
  

• Debian Linux pour sparc:

  http://http.us.debian.org/debian/dists/unstable/main/binary-sparc/net/nfs-common_0.1.9.1-1.deb
  

• Debian Linux pour alpha:

  http://http.us.debian.org/debian/dists/potato/main/binary-alpha/net/nfs-common_0.1.9.1-1.deb
  

• RedHat Linux pour sparc:

  ftp://updates.redhat.com/6.2/sparc/nfs-utils-0.1.9.1-1.sparc.rpm
  

• RedHat Linux i386:

  ftp://updates.redhat.com/6.2/i386/nfs-utils-0.1.9.1-1.i386.rpm
  

• RedHat Linux alpha:

  ftp://updates.redhat.com/6.2/alpha/nfs-utils-0.1.9.1-1.alpha.rpm
  

• Trustix Trustix Secure Linux

  ftp://ftp.trustix.com/pub/Trustix/updates/1.1/RPMS/nfs-utils-0.1.9.1-1tr.i586.rpm
  

• Suse Linux selon la version :

  ftp://ftp.suse.com/pub/suse/i386/update/6.4/nl/knfsd.rpm
  
  ftp://ftp.suse.com/pub/suse/i386/update/6.4/zql/knfsd.rpm
  
  ftp://ftp.suse.com/pub/suse/i386/update/6.3/nl/knfsd.rpm
  
  ftp://ftp.suse.com/pub/suse/i386/update/6.3/zql/knfsd.rpm
  
  ftp://ftp.suse.com/pub/suse/i386/update/6.2/nl/linuxnfs.rpm
  
  ftp://ftp.suse.com/pub/suse/i386/update/6.2/zql/linuxnfs.rpm
  
  ftp://ftp.suse.com/pub/suse/i386/update/6.1/nl/linuxnfs.rpm
  
  ftp://ftp.suse.com/pub/suse/i386/update/6.1/zql/linuxnfs.rpm
  
  ftp://ftp.suse.com/pub/suse/axp/update/6.4/nl/knfsd.rpm
  
  ftp://ftp.suse.com/pub/suse/axp/update/6.4/zql/knfsd.rpm
  
  ftp://ftp.suse.com/pub/suse/axp/update/6.3/nl/knfsd.rpm
  
  ftp://ftp.suse.com/pub/suse/axp/update/6.3/zql/knfsd.rpm
  
  ftp://ftp.suse.com/pub/suse/axp/update/6.1/nl/linuxnfs.rpm
  
  ftp://ftp.suse.com/pub/suse/axp/update/6.1/zql/linuxnfs.rpm
  
  ftp://ftp.suse.com/pub/suse/ppc/update/6.4/nl/knfsd.rpm
  
  ftp://ftp.suse.com/pub/suse/ppc/update/6.4/zql/knfsd.rpm
  

Nota : Cette liste n'est pas exhaustive car elle s'aggrandit de jour en jours. Il existe, depuis longtemps, de nombreuses vulnérabilités liées RPC.statd pour SunOS et solaris. Pour savoir s'il existe une mise à jour de RPC.statd pour votre système, contactez votre éditeur.