certfr_avis - certa-2000-avi-039

CERTA-2000-AVI-039

Vulnerability from certfr_avis - Published: - Updated:

Le daemon RPC.statd intervient dans le fonctionnement du service NFS sous Unix. Ce daemon possède une vulnérabilité permettant à un utilisateur distant d'éxécuter du code ou d'accéder à un shell avec les privilèges root.

Les exploits utilisant les vulnérabilités de RPC.statd se multiplient toujours.

Description

Le Daemon RPC.statd passe des informations fournies par les utilistaeur du service à la fonction syslog() (journalisation) et manipule des fichiers avec les privilèges de root par défaut. Un défaut dans la conception de ce daemon permet à un utilisateur mal intentionné d'injecter dans les données transmise à syslog du code executable avec les privilèges de RPC.statd (typiquement ceux de root).

Contournement provisoire

Désactiver RPC.statd ou NFS s'il n'est pas utile au fonctionnement du système et des réseaux.

Solution

Mettre à jour RPC.statd selon le système que vous avez :

Connectiva Linux 5.1:

ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/5.1/i386/nfs-utils-0.1.9.1-4cl.i386.rpm

Connectiva Linux 5.0:

ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/5.0/i386/nfs-utils-0.1.9.1-3cl.i386.rpm

Connectiva Linux 4.2:

ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.2/i386/nfs-utils-0.1.9.1-3cl.i386.rpm

Connectiva Linux 4.1:

ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.1/i386/nfs-utils-0.1.9.1-3cl.i386.rpm

Connectiva Linux 4.0es:

ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.0es/i386/nfs-utils-0.1.9.1-3cl.i386.rpm

Connectiva Linux 4.0:

ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.0/i386/nfs-utils-0.1.9.1-3cl.i386.rpm

Debian Linux pour powerpc:

http://http.us.debian.org/debian/dists/unstable/main/binary-powerpc/net/nfs-common_0.1.9.1-1.deb

Debian Linux pour PC:

http://http.us.debian.org/debian/dists/unstable/main/binary-i386/net/nfs-common_0.1.9.1-1.deb

Debian Linux pour sparc:

http://http.us.debian.org/debian/dists/unstable/main/binary-sparc/net/nfs-common_0.1.9.1-1.deb

Debian Linux pour alpha:

http://http.us.debian.org/debian/dists/potato/main/binary-alpha/net/nfs-common_0.1.9.1-1.deb

RedHat Linux pour sparc:

ftp://updates.redhat.com/6.2/sparc/nfs-utils-0.1.9.1-1.sparc.rpm

RedHat Linux i386:

ftp://updates.redhat.com/6.2/i386/nfs-utils-0.1.9.1-1.i386.rpm

RedHat Linux alpha:

ftp://updates.redhat.com/6.2/alpha/nfs-utils-0.1.9.1-1.alpha.rpm

Trustix Trustix Secure Linux

ftp://ftp.trustix.com/pub/Trustix/updates/1.1/RPMS/nfs-utils-0.1.9.1-1tr.i586.rpm

Suse Linux selon la version :

ftp://ftp.suse.com/pub/suse/i386/update/6.4/nl/knfsd.rpm

ftp://ftp.suse.com/pub/suse/i386/update/6.4/zql/knfsd.rpm

ftp://ftp.suse.com/pub/suse/i386/update/6.3/nl/knfsd.rpm

ftp://ftp.suse.com/pub/suse/i386/update/6.3/zql/knfsd.rpm

ftp://ftp.suse.com/pub/suse/i386/update/6.2/nl/linuxnfs.rpm

ftp://ftp.suse.com/pub/suse/i386/update/6.2/zql/linuxnfs.rpm

ftp://ftp.suse.com/pub/suse/i386/update/6.1/nl/linuxnfs.rpm

ftp://ftp.suse.com/pub/suse/i386/update/6.1/zql/linuxnfs.rpm

ftp://ftp.suse.com/pub/suse/axp/update/6.4/nl/knfsd.rpm

ftp://ftp.suse.com/pub/suse/axp/update/6.4/zql/knfsd.rpm

ftp://ftp.suse.com/pub/suse/axp/update/6.3/nl/knfsd.rpm

ftp://ftp.suse.com/pub/suse/axp/update/6.3/zql/knfsd.rpm

ftp://ftp.suse.com/pub/suse/axp/update/6.1/nl/linuxnfs.rpm

ftp://ftp.suse.com/pub/suse/axp/update/6.1/zql/linuxnfs.rpm

ftp://ftp.suse.com/pub/suse/ppc/update/6.4/nl/knfsd.rpm

ftp://ftp.suse.com/pub/suse/ppc/update/6.4/zql/knfsd.rpm

Nota : Cette liste n'est pas exhaustive car elle s'aggrandit de jour en jours. Il existe, depuis longtemps, de nombreuses vulnérabilités liées RPC.statd pour SunOS et solaris. Pour savoir s'il existe une mise à jour de RPC.statd pour votre système, contactez votre éditeur.

Systèmes Unix et Linux possédant RPC.statd.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Avis CA-2000-17 du CERT/CC	None	vendor-advisory
Avis du CIAC	None	vendor-advisory
Avis du CERT/CC	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eSyst\u00e8mes Unix et Linux poss\u00e9dant RPC.statd.\u003c/P\u003e",
  "content": "## Description\n\nLe Daemon RPC.statd passe des informations fournies par les utilistaeur\ndu service \u00e0 la fonction syslog() (journalisation) et manipule des\nfichiers avec les privil\u00e8ges de root par d\u00e9faut. Un d\u00e9faut dans la\nconception de ce daemon permet \u00e0 un utilisateur mal intentionn\u00e9\nd\u0027injecter dans les donn\u00e9es transmise \u00e0 syslog du code executable avec\nles privil\u00e8ges de RPC.statd (typiquement ceux de root).\n\n## Contournement provisoire\n\nD\u00e9sactiver RPC.statd ou NFS s\u0027il n\u0027est pas utile au fonctionnement du\nsyst\u00e8me et des r\u00e9seaux.\n\n## Solution\n\nMettre \u00e0 jour RPC.statd selon le syst\u00e8me que vous avez :\n\n-   Connectiva Linux 5.1:\n\n        ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/5.1/i386/nfs-utils-0.1.9.1-4cl.i386.rpm\n\n-   Connectiva Linux 5.0:\n\n        ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/5.0/i386/nfs-utils-0.1.9.1-3cl.i386.rpm\n\n-   Connectiva Linux 4.2:\n\n        ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.2/i386/nfs-utils-0.1.9.1-3cl.i386.rpm\n\n-   Connectiva Linux 4.1:\n\n        ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.1/i386/nfs-utils-0.1.9.1-3cl.i386.rpm\n\n-   Connectiva Linux 4.0es:\n\n        ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.0es/i386/nfs-utils-0.1.9.1-3cl.i386.rpm\n\n-   Connectiva Linux 4.0:\n\n        ftp://ftp.conectiva.com.br/pub/conectiva/atualizacoes/4.0/i386/nfs-utils-0.1.9.1-3cl.i386.rpm\n\n-   Debian Linux pour powerpc:\n\n        http://http.us.debian.org/debian/dists/unstable/main/binary-powerpc/net/nfs-common_0.1.9.1-1.deb\n\n-   Debian Linux pour PC:\n\n        http://http.us.debian.org/debian/dists/unstable/main/binary-i386/net/nfs-common_0.1.9.1-1.deb\n\n-   Debian Linux pour sparc:\n\n        http://http.us.debian.org/debian/dists/unstable/main/binary-sparc/net/nfs-common_0.1.9.1-1.deb\n\n-   Debian Linux pour alpha:\n\n        http://http.us.debian.org/debian/dists/potato/main/binary-alpha/net/nfs-common_0.1.9.1-1.deb\n\n-   RedHat Linux pour sparc:\n\n        ftp://updates.redhat.com/6.2/sparc/nfs-utils-0.1.9.1-1.sparc.rpm\n\n-   RedHat Linux i386:\n\n        ftp://updates.redhat.com/6.2/i386/nfs-utils-0.1.9.1-1.i386.rpm\n\n-   RedHat Linux alpha:\n\n        ftp://updates.redhat.com/6.2/alpha/nfs-utils-0.1.9.1-1.alpha.rpm\n\n-   Trustix Trustix Secure Linux\n\n        ftp://ftp.trustix.com/pub/Trustix/updates/1.1/RPMS/nfs-utils-0.1.9.1-1tr.i586.rpm\n\n-   Suse Linux selon la version :\n\n        ftp://ftp.suse.com/pub/suse/i386/update/6.4/nl/knfsd.rpm\n\n        ftp://ftp.suse.com/pub/suse/i386/update/6.4/zql/knfsd.rpm\n\n        ftp://ftp.suse.com/pub/suse/i386/update/6.3/nl/knfsd.rpm\n\n        ftp://ftp.suse.com/pub/suse/i386/update/6.3/zql/knfsd.rpm\n\n        ftp://ftp.suse.com/pub/suse/i386/update/6.2/nl/linuxnfs.rpm\n\n        ftp://ftp.suse.com/pub/suse/i386/update/6.2/zql/linuxnfs.rpm\n\n        ftp://ftp.suse.com/pub/suse/i386/update/6.1/nl/linuxnfs.rpm\n\n        ftp://ftp.suse.com/pub/suse/i386/update/6.1/zql/linuxnfs.rpm\n\n        ftp://ftp.suse.com/pub/suse/axp/update/6.4/nl/knfsd.rpm\n\n        ftp://ftp.suse.com/pub/suse/axp/update/6.4/zql/knfsd.rpm\n\n        ftp://ftp.suse.com/pub/suse/axp/update/6.3/nl/knfsd.rpm\n\n        ftp://ftp.suse.com/pub/suse/axp/update/6.3/zql/knfsd.rpm\n\n        ftp://ftp.suse.com/pub/suse/axp/update/6.1/nl/linuxnfs.rpm\n\n        ftp://ftp.suse.com/pub/suse/axp/update/6.1/zql/linuxnfs.rpm\n\n        ftp://ftp.suse.com/pub/suse/ppc/update/6.4/nl/knfsd.rpm\n\n        ftp://ftp.suse.com/pub/suse/ppc/update/6.4/zql/knfsd.rpm\n\nNota : Cette liste n\u0027est pas exhaustive car elle s\u0027aggrandit de jour en\njours. Il existe, depuis longtemps, de nombreuses vuln\u00e9rabilit\u00e9s li\u00e9es\nRPC.statd pour SunOS et solaris. Pour savoir s\u0027il existe une mise \u00e0 jour\nde RPC.statd pour votre syst\u00e8me, contactez votre \u00e9diteur.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis du CERT/CC",
      "url": "http://www.cert.org/advisories/CA-2000-17.html"
    }
  ],
  "reference": "CERTA-2000-AVI-039",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-08-30T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Acc\u00e8s root \u00e0 distance sans compte utilisateur"
    }
  ],
  "summary": "Le daemon RPC.statd intervient dans le fonctionnement du service NFS\nsous Unix. Ce daemon poss\u00e8de une vuln\u00e9rabilit\u00e9 permettant \u00e0 un\nutilisateur distant d\u0027\u00e9x\u00e9cuter du code ou d\u0027acc\u00e9der \u00e0 un shell avec les\nprivil\u00e8ges root.\n\nLes exploits utilisant les vuln\u00e9rabilit\u00e9s de RPC.statd se multiplient\ntoujours.\n",
  "title": "vuln\u00e9rabilit\u00e9s de RPC.statd sous Unix",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis CA-2000-17 du CERT/CC",
      "url": null
    },
    {
      "published_at": null,
      "title": "Avis du CIAC",
      "url": "http://www.ciac.org/ciac/bulletins/k-069.shtml"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted