CERTA-2001-ALE-004

Vulnerability from certfr_alerte - Published: - Updated:

Une faille dans le démon snmpXdmid a été récemment découverte. Celle-ci permet à une personne mal intentionnée de prendre le contrôle de la machine. Cette faille est actuellement massivement exploitée par les pirates.

Description

Le démon snmpXdmid est un service RPC effectuant la traduction des standards d'administration à distance SNMP (Simple Network Management Protocol) et DMI (Desktop Management Protocol). Il est installé par défaut sur Sun Solaris. La version sur Sun Solaris contient une vulnérabilité qui permet à une personne mal intentionnée de prendre le contrôle d'une machine.

Lorsqu'une machine est compromise par cette faille, des fichiers sont installés par le pirate.

Parmi ceux-ci se trouvent :

  • Un "rootkit" pour Sun Solaris (reprogrammation de du, find, ls, netstat, passwd, ping, psr, su) ;
  • Un renifleur de mots de passe ;
  • Un nettoyeur de fichiers journaux ;
  • Des outils pour installer des portes dérobées (l'une d'entre elles se dissimule sous le démon identd).

Contournement provisoire

  • Filtrer les ports :
    • 111/tcp (sunrpc - portmapper) ;
    • 6500/udp ;
    • 113/tcp (identd).
  • Arrêter le service smpdXdmid en renommant le fichier /etc/rc?.d/S??dmi en /etc/rc?.d/K07dmi (où ? correspond au niveau de lancement) et en lançant la commande '/etc/init.d/init.dmi stop'. Il est également recommandé de changer les droits d'accès du binaire en utilisant la commande : 'chmod 000 /usr/lib/dmi/snmpXdmid'.

Solution

Appliquer le patch correctif de Sun sur snmpXdmid lorsque celui-ci sera rendu publique.

Sun Solaris 2.6, 2.7 et 2.8 avec le daemon snmpXdmid.

Impacted products
Vendor Product Description
References
Bugtraq None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eSun Solaris 2.6, 2.7 et 2.8 avec le daemon snmpXdmid.\u003c/P\u003e",
  "closed_at": "2001-03-30",
  "content": "## Description\n\nLe d\u00e9mon snmpXdmid est un service RPC effectuant la traduction des\nstandards d\u0027administration \u00e0 distance SNMP (Simple Network Management\nProtocol) et DMI (Desktop Management Protocol). Il est install\u00e9 par\nd\u00e9faut sur Sun Solaris. La version sur Sun Solaris contient une\nvuln\u00e9rabilit\u00e9 qui permet \u00e0 une personne mal intentionn\u00e9e de prendre le\ncontr\u00f4le d\u0027une machine.\n\nLorsqu\u0027une machine est compromise par cette faille, des fichiers sont\ninstall\u00e9s par le pirate.\n\nParmi ceux-ci se trouvent :\n\n-   Un \"rootkit\" pour Sun Solaris (reprogrammation de du, find, ls,\n    netstat, passwd, ping, psr, su) ;\n-   Un renifleur de mots de passe ;\n-   Un nettoyeur de fichiers journaux ;\n-   Des outils pour installer des portes d\u00e9rob\u00e9es (l\u0027une d\u0027entre elles\n    se dissimule sous le d\u00e9mon identd).\n\n## Contournement provisoire\n\n-   Filtrer les ports :\n    -   111/tcp (sunrpc - portmapper) ;\n    -   6500/udp ;\n    -   113/tcp (identd).\n-   Arr\u00eater le service smpdXdmid en renommant le fichier\n    /etc/rc?.d/S??dmi en /etc/rc?.d/K07dmi (o\u00f9 ? correspond au niveau de\n    lancement) et en lan\u00e7ant la commande \u0027/etc/init.d/init.dmi stop\u0027. Il\n    est \u00e9galement recommand\u00e9 de changer les droits d\u0027acc\u00e8s du binaire en\n    utilisant la commande : \u0027chmod 000 /usr/lib/dmi/snmpXdmid\u0027.\n\n## Solution\n\nAppliquer le patch correctif de Sun sur snmpXdmid lorsque celui-ci sera\nrendu publique.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2001-ALE-004",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-03-30T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Compromission des machines sun solaris"
    }
  ],
  "summary": "Une faille dans le d\u00e9mon snmpXdmid a \u00e9t\u00e9 r\u00e9cemment d\u00e9couverte. Celle-ci\npermet \u00e0 une personne mal intentionn\u00e9e de prendre le contr\u00f4le de la\nmachine. Cette faille est actuellement massivement exploit\u00e9e par les\npirates.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans le d\u00e9mon snmpXdmid sous Sun Solaris",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bugtraq",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.