美国当地时间8月12日,CERT/CC发布警告称,在UNIX和LinuxOS中的“CDEToolTalkRPC数据库服务器(rpc.ttdbserverd)”程序中发现了安全漏洞。如果此漏洞被恶意使用的话,就有可能远程执行任意代码(程序)。其对策是安装补丁或停止使用rpc.ttdbserverd。
注:CDE(CommonDesktopEnvironment,通用桌面环境)是指运行于UNIX和LinuxOS中的集成GUI环境。CDEToolTalk在不同的应用间起通信桥梁作用的系统。而ToolTalkRPC数据库服务器“rpc.ttdbserverd”则是在CDEToolTalk中管理通信的服务器程序。
据发现该安全漏洞的美国EnterceptSecurityTechnologies的介绍,下述公司的UNIXOS将受到该漏洞的影响。
·康柏计算机·克雷(Cray)·DataGeneral·富士通·惠普·IBM·SGI·美国Sun·TheOpenGroup·XiGraphics
据CERT/CC发表的消息,截止到日本时间8月13日中午已经确认存在该安全漏洞的包括Caldera、惠普、IBM、美国Sun和XiGraphics等公司的产品。其他的公司的产品目前尚未得到确认。CERT/CC的信息将会随时更新。使用上述公司提供的UNIXOS的用户最好随时浏览CERT/CC及提供商提供的最新信息。
此次的安全漏洞是因为在rpc.ttdbserverd的“TTCREATEFILE()”中存在缓存溢出的脆弱性。因此,对于rpc.ttdbserverd来说,通过发送做过某些手脚的RPC信息,就可以使其产生缓存溢出。其结果,就可能会使rpc.ttdbserverd停止运行,或者在运行rpc.ttdbserverd的机器上执行任意代码。此时,代码是在rpc.ttdbserverd的权限(通常为root权限)下运行的。
其对策是安装提供商公布的补丁程序。不过,目前好象还没有一家公司公布补丁程序。
作为其他应对策略,就是停止运行rpc.ttdbserverd。由于屡次在rpc.ttdbserverd中发现安全漏洞,因此用户应该停止运行该程序。具体的停止方法可以仔细参阅CERT/CC的信息。不过,一旦停止rpc.ttdbserverd,那么有时会对其他程序造成影响,因此请用户注意这一点。
利用防火墙等关闭rpc.ttdbserverd所使用的端口也是避免漏洞的对策之一。通常情况下,该端口被设置为TCP协议的692端口,当然也有可能使用其他端口,因此可以利用“rpcinfo”命令进行确认。同时,如果有可能的话,还希望用户把“RPCportmapper”服务的端口也堵上。这是因为可以经过RPCportmapper来访问rpc.ttdbserverd。RPCportmapper通常利用的是TCP协议的111端口和UDP协议的111端口。
不过,需要注意的是,即使堵塞这些端口,也无法防止来自内部的攻击。另外,在堵塞这些端口时,必须确认没有给其他程序和服务造成影响。
