Risque
Accès root à distance.
Systèmes affectés
SGI IRIX 6.5.5 à 6.5.8.
Résumé
Une vulnérabilité du service rpc.espd permet à un utilisateur mal intentionné d'effectuer un débordement de mémoire à distance et d'acquérir les privilèges de root.
Description
ESP (Embedded Support Partner) est un outil de maintenance à distance inclus dans le système d'exploitation IRIX. Il est installé par défaut sur les versions 6.5.5 et supérieures.
Il est possible d'effectuer à distance un débordement de mémoire du daemon rpc.espd pouvant conduire à une compromission de root.
Contournement provisoire
- Supprimer le service rpc.espd s'il n'est pas utilisé.
- Rendre non exécutable le service rpc.espd en attendant d'appliquer le correctif ou la nouvelle version. Ce contournement est d'ailleurs la seule solution pour les versions 6.5.5 et 6.5.6 qui ne sont plus maintenues par SGI.
- /bin/chmod -x /usr/etc/rpc.espd
- relancer les services avec la commande :
/etc/killal -HUP inetd
Solution
- Pour les versions 6.5.7 et 6.5.8 de SGI, appliquer le correctif de SGI N˚ 4123 :
ftp://patches.sgi.com/support/free/security/patches
- La version 2.0 de ESP n'est pas vulnérable, elle est installée par défaut sur la version 6.5.9 d'IRIX.
Documentation
L'avis de sécurité de SGI :
http://patches.sgi.com/support/free/security/advisories/20010501-01-P
