◆概要: 報道によれば、Common Desktop Environment(CDE)ToolTalkサービスでのデータベースサーバーのバッファオーバーフローを悪用して、リモート攻撃者が任意のコードを実行したり、攻撃対象のホストをクラッシュすることができる。ToolTalkにより、アプリケーションはリモートプロシージャコール(RPC)を介してネットワーク上で通信できる。この通信を制御するToolTalkのデータベースサーバー(rpc.ttdbserverd)には“_TT_CREATE_FILE()”プロシージャが格納されており、攻撃者が特殊なRPCメッセージで長い引数を受け渡すと、関連するバッファがオーバーフローする可能性がある。 Mitre社のCommon Vulnerabilities and Exposures(CVE:一般的な脆弱性と暴露性)の論説委員会では、この問題に対してCAN-2002-0679というID番号を付与している。◆情報ソース: ・Entercept Security Technologies ( http://www.entercept.com/news/uspr/08-12-02.asp ), Aug. 12, 2002 ・CERT (Advisory CA-2002-26, http://www.cert.org/advisories/CA-2002-26.html ), Aug. 12, 2002◆キーワード: Caldera: OpenUnix 8 Caldera: UnixWare 7 HP UX 11i HP UX 11.0 HP UX 10.20 HP UX 10.x HP UX 9.x HP UX 8.x HP UX 7.x IBM: AIX 5L 5.1 IBM: AIX 4.3.x Sun: Solaris 9.x Sun: Solaris 8.x Sun: Solaris 7.x Sun: Solaris 2.x ◆分析: (iDEFENSE米国)rpc.ttdbserverdはほとんどのUnixベースのシステム上にてルート特権で動作しているため、攻撃者は悪用により同じ特権レベルで、攻撃対象のホスト上にて任意のコードを実行することができる。多数のシステムがこれをデフォルトでインストールし、有効に設定しているため、悪用が多発する可能性が高い。一部のオペレーションシステムで提供されている非実行スタック保護でヒープ上のコードの実行を阻止できない可能性がある。◆検知方法: 報道でこの問題が確認されている製品を販売しているベンダーは以下の通り。・Caldera International社・コンパックコンピュータ社・クレイ社・富士通・ヒューレットパッカード社・IBM・シリコングラフィックス社・サンマイクロシステムズ社・The Open Group・Xi Graphics社◆暫定処置: 以下のいずれかを実行することにより、ユーザーは悪用を緩和できる。・rpc.ttdbserverdを無効に設定する。・RPCポートマッパーサービス、ToolTalk RPCデータベースサービスへのアクセスをブロックまたは制限する。 rpc.ttdbserverdを無効に設定するには、まずrpc.ttdbserverdが動作しているか確認する。サンマイクロシステムズ社のSolaris 8 OSでのrpcinfo()、ps()コマンドの出力から、作業が必要か否か判断する。# rpcinfo -p | grep 100083100083 1 tcp 32773# ps -ef | grep rpc.ttdbserverdroot 355 164 0 19:31:27 ? 0:00 rpc.ttdbserverd rpc.ttdbserverdのプログラム番号は100083である。100083またはrpc.ttdbserverdへの参照が/etc/inetd.conf、/etc/rpcすなわちpcinfo()、ps()コマンドの出力で確認された場合、ToolTalk RPCデータベースサーバーが動作している可能性がある。これを無効に設定するには、Solaris 8の場合は/etc/rpcまたは/etc/inetd.confファイルを確認し、以下のエントリをコメントとして入力する。## Sun ToolTalk Database Server#100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd RPCポートマッパーサービス、ToolTalk RPCデータベースサービスへのアクセスをブロックまたは制限するには、一般的にこれらの2つのサービスで用いられているポートをブロックする(一般的にRPCポートマッパーサービスはTCP/UDPポート111上で動作しており、ToolTalk RPCサービスはTCPポート692またはrpcinfoコマンドの出力に記載されているポートを使用するよう構成されている可能性がある)。ただし、この作業ではローカルでの悪用は阻止できない。◆ベンダー情報: ベンダー各社からのアドバイザリーは今週中に発表されると思われる。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです。 【18:43 GMT、08、12、2002】
