sekure/uground industries - Security Bulletim ........................................................ www.sekure.org -> sekure.09-98.irix <- 1. Introducao '`'`'`'`'`'`'` Este texto foi escrito com a intencao de ajudar usuarios IRIX x.x, em relacao a seguranca do sistema. As vulnerabilidades discutidas abaixo foram descobertas no ano corrente (1998). Caso se interesse por problemas mais antigos, procure em www.sgi.com. 2. Vulnerabilidades no Seyon '`'`'`'`'`'`'`'`'`'`'`'`'`'` 2.1. Descricao e Comprometimento '`'`''`'`'`'`'`'`'`'`'`'`'`'`'`' O Seyon e' um pacote para comunicacoes distribuido gratuitamente para uso no X windows. A vulnerabilidade encontrada nesse programa esta nas versoes do "fw_MSSeyon" v2.14c e anteriores, podendo comprometer acesso root ao sistema por um usuario mal intencionado. 2.2. Solucao '`'`'`'`'`'` Verifique se voce possui a vulnerabilidade em seu sistema. Lembre-se que ela e' encontrada nas versoes 2.14c do fw_MSSeyon para baixo: % versions -b fw_MSSeyon Name Date Description I fw_MSSeyon 08/26/97 Seyon X Telecommunications Package version 2.14c by Muhammad M. Saggaf Torne-se root no sistema e remova o Seyon vulneravel: # versions remove fw_MSSeyon Ou, simplesmente nao de acesso aos usuarios para usar o Seyon removendo o set-uid bit: # /usr/bin/chmod u-s /usr/freeware/bin/seyon # ls -l /usr/freeware/bin/seyon -rwxr-xr-x 1 root sys 181600 Aug 26 1997 /usr/freeware/bin/seyon De uma olhada nos enderecos abaixo para a realizacao de um upgrade: http://freeware.sgi.com/ http://toolbox.sgi.com/TasteOfDT/public/ Obs. A Silicon Graphics distribui o Seyon para IRIX em um pacote chamado "fw_MSSeyon" encontrado nos cds SGI Freeware 1.0 e 2.0. 3. Vulnerabilidades no bind '`'`'`'`'`'`'`'`'`'`'`'`'`' 3.1. Descricao '`'`'`'`'`'`'` O fator mais alarmante nos ultimos tempos tem sido as vulnerabilidades ocorridas com o uso do BIND (Berkeley Internet Name Domain), software que trabalha em conjunto com o DNS (Name Domain System) e traz serios riscos aos servidores que possuem autoridade em relacao a dominios na net rodando named. Todas as versoes a partir do 3.x ao 6.4 possuem essa vulnerabilidade. Obs.: O bind nao vem instalado de uma forma "default" no Irix. 3.2. Comprometimento '`'`'`'`'`'`'`'`'`'` E' bom firmar que nao e' preciso ter uma conta local na maquina para se aproveitar dessa falha e adquirir root no servidor. Portanto o servidor, ou melhor, o usuario, torna-se uma vitima fragil a ataques remotos. 3.3. Deteccao, prevencao e remocao '`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'` Verifique se voce possui named instalado: # versions eoe1.sw.named (Irix 3.x -> 5.x) # versions eoe.sw.named (Irix 6.x) Caso possua, torne-se root no servidor, edite o arquivo /etc/named.boot, encontre a linha "options" desse arquivo, conforme exemplo a seguir: # vi /etc/named.boot options forward-only query-log fake-iquery Retire a entrada "fake-iquery" options forward-only query-log Salve o arquivo e reinicie o named: # /usr/sbin/named.restart Isso fara com que temporariamente voce nao seja vitima de alguem mais experiente e que tente entrar ilegalmente em seu servidor se aproveitando do buffer overflow presente no daemon atraves da entrada "fake-iquery". No entanto corra atras dos patches, pois voce continua vulneravel. Apenas "fugiu" do tao temido "invasor". Obs. retirando a flag "fake-iquery", voce fara com que versoes antigas do nslookup nao funcionem corretamente, portanto, nao seja acomodado: realmente corra atras do patch fornecido pela SGI. 4. Vulnerabilidades no IMAP '`'`'`'`'`'`'`'`'`'`'`'`'`' 4.1. Descricao e comprometimento '`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'` Buffer overflow descoberto em algumas versoes do IMAP (velho conhecido dos Linux Red Hat users) que pode dar acesso root remoto ao sistema que possui esse daemon. As versoes afetadas sao 4.1.BETA v10.23 e anteriores. 4.2. Deteccao e remocao '`'`'`'`'`'`'`'`'`'`'`' Verifiquei se o seu Irix e' vulneravel (apenas 4.1-BETA e versoes anteriores do fw_imap sao): % versions -b fw_imap Name Date Description I fw_imap 07/31/98 imap-4.1.BETA U. of Washington POP2/POP3/IMAP4 daemons Torne-se root: % /bin/su - Password: # Remova o imap bugado: # versions remove fw_imap Assim que possivel, reinstale uma nova versao do imap, que pode ser en- contrada em: ftp://ftp.cac.washington.edu/mail/imap.tar.Z 5. Vulnerabilidade no BSD/Qualcomm Qpopper '`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'` 5.1. Descricao '`'`'`'`'`'`'` O "Post Office Protocol" ligeiramente chamado de "POP", e' provido de varios softwares distribuidos na net, usados para a verificacao das caixas de mail dos usuarios. 5.2. Comprometimento '`'`'`'`'`'`'`'`'`'` Uma vulnerabilidade, mais especificamente um buffer overflow descoberto nos servidores baseados no BSD/Qualcomm qpopper, permite que remotamente, pessoas possam obter acesso root em maquinas que carregam esse bug. 5.3. Deteccao e remocao '`'`'`'`'`'`'`'`'`'`'`' Verifique se voce possui essa falha em seu sistema. Versoes 2.41 e anterioes do fw_BSDqpopper sao vulneraveis: % versions -b fw_BSDqpopper Name Date Description I fw_BSDqpopper 07/01/97 BSD/Qualcomm POP (Post Office Protocol) Torne-se root e remova do seu sistema: # versions remove fw_BSDqpopper Obtenha a versao atualizada do Qpopper em: http://eudora.qualcomm.com/free/servers.html 6. Flood/Spoofing/Hijack '`'`'`'`'`'`'`'`'`'`'`'` 6.1. Descricao '`'`'`'`'`'`'` Esse topico e' bastante amplo. Voce podera encontrar descricoes do assunto na Internet. 6.2. Comprometimento '`'`'`'`'`'`'`'`'`'` Todos Irix da versao 3.x ate a 6.2 estao vulneraveis a ataques chamados de TCP SYN Flooding (Ping da morte), Hijack de conexoes e ataques de IPs Spoofados. 6.3. Solucao '`'`'`'`'`'` 5.3 e 6.2: pegue o patch na SGI Usuarios de outras versoes: faca o upgrade para o Irix mais recente. 6. Vulnerabilidades no MAILCAP '`'`'`'`'`'`'`'`'`'`'`'`'`'`'` 7.1. Descricao '`'`'`'`'`'`'` Todos os usuarios de Irix 6.3 e 6.4 que possuem entradas no Mailcap para x-sgi-task e x-sgi-exec sao afetados por essa vulnerabilidado. Por "default" a vulnerabilidade esta guardada no /usr/local/lib/netscape/mailcap. Alem disso, os usuarios podem possuir o mailcap guardados nos seus diretorios home ($HOME/.mailcap). 7.2. Comprometimento '`'`'`'`'`'`'`'`'`'` Para ser utilizada maliciosamente, e' necessario que o usuario faca uso do Netscape Navigator para a web ou leitura de e-mails, e que faca download de algum "trojan horse" acessando algum site da web. Esse trojan horse, ira executar comandos com os previlegios do usuario, e se o mesmo for o root, o sistema pode ser afetado seriamente. 7.3. Deteccao, solucao '`'`'`'`'`'`'`'`'`'`'` Torne-se root e edite o /usr/local/lib/netscape/mailcap, removendo as seguintes entradas no arquivo: application/x-sgi-task; /usr/sysadm/bin/runtask %s; \ description="System Administration Task" application/x-sgi-exec; /usr/sysadm/bin/runexec %s; \ description="System Administration Executable" Encontre outros arquivos mailcap no sistema: # find / -local -type f \( -name 'mailcap' -o \ -name '.mailcap' \) -exec egrep 'runexec|runtask' {} \ /dev/null \; Edite-os, e remova a vulnerabilidade. Faca o upgrade para uma versao mais nova do Irix. 8. Vulnerabilidade do ioconfig e disk_bandwidth no Irix 6.4 '`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`' 8.1. Descricao '`'`'`'`'`'`'` O ioconfig e' um programa que cuida do controle logico dos numeros de todos os I/O devices numa Silicon Graphics Origin ou uma Onyx2. Ja o disk_bandwidth e' o programa que vai determinar os numeros I/O de todasas tarefas que podem ser executadas no disco dos mesmos hardwares acima mencionados. O ioconfig e o disk_bandwitdh sao programas instalados como default em maquinas Irix 6.4 S2MP em Origin e Onyx2. 8.2. Comprometimento '`'`'`'`'`'`'`'`'`'` Essa vulnerabilidade pode comprometer o acesso root ao sistema por algum usuario mal intencionado. 8.3. Solucao '`'`'`'`'`'` Torne-se root, e verifique se voce possui essa vulnerabilidade, lembrando que o sistema afetado e' apenas o Irix 6.4 S2MP rodando em maquinas Origin/Onyx2. # uname -R 6.4 S2MP+OCTANE Remova as permissoes no ioconfig e disk_bandwidth vulneraveis: # /bin/chmod 500 /sbin/ioconfig # /bin/chmod 500 /sbin/disk_bandwidth Verifique as permissoes no programa. Note que o tamanho e' diferente dependendo da versao: # ls -l /sbin/ioconfig /usr/sbin/disk_bandwidth -r-x------ 1 root sys 34024 Feb 20 16:53 ioconfig -r-x------ 1 root sys 17604 Dec 18 1997 disk_bandwidth 9. Vulnerabilidades no mail/rmail/sendmail '`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'` 9.1. Descricao '`'`'`'`'`'`'` A primeira falha esta no mail e no rmail. O mail, programa tambem conhecido como mail_att, e' utilizado para ler e enviar e-mails. Ja o rmail e' um programa usualmente chamado pelo uux para receber mail via uucp. A segunda falha envolve o sendmail, daemon que se responsabiliza por entregar e receber mensagens. Em um IRIX totalmente patcheado, a versao default do sendmail eh 8.6.12. 9.2. Comprometimento '`'`'`'`'`'`'`'`'`'` mail/rmail/sendmail, sao programas instalados como "default" no IRIX. As vulnerabilidades no mail/rmail permitem a um usuario local acessar ou modificar qualquer arquivo pertencente ao mail group. No sendmail, as falhas sao encontradas em versoes abaixo da 8.7.5, e permitem a uma pessoa ma intencionada, munida de uma conta no servidor vulneravel, atacar e obter acesso root a maquina, remota ou localmente. 9.3. Solucao '`'`'`'`'`'` Torne-se root e remova as permissoes nos programas: # /bin/chmod 555 /usr/bin/mail # /bin/chmod 555 /usr/bin/rmail Verifique as permissoes: # ls -l /usr/bin/mail /usr/bin/rmail -r-xr-xr-x 1 root mail 53024 Feb 12 1996 mail -r-xr-xr-x 1 root mail 14216 May 16 1996 rmail No caso do sendmail, o programa precisa ser desabilitado ou os patches instalados. Faca o upgrade para a versao 8.8.8 ou mais recente caso ja esteja disponivel. Desabilitando: # chkconfig sendmail off # /etc/init.d/mail stop Finalmente, de uma olhada em: http://www.sendmail.org/ 10.1. Comentarios '`'`'`'`'`'`'`'`' Acima foram algumas vulnerabilidades e meios para soluciona-las. Nao terminam por aqui. Existem muitas outras. Manter-se sempre informado e' regra basica para garantir um sistema confiavel e seguro. 10.2. Contatos '`'`'`'`'`'`'` sekure.09-98.irix security bulletin by slide (slide@sekure.org) sekure/uground industries - Security Bulletim uma publicacao da sekure/uground industries (tm) http://www.sekure.org - contatos: security@sekure.org Procure pelos advisories da sekure/uground industries em http://www.sekure.org/advisories.html Assine a lista Best Of Security Brasil - http://www.sekure.org/bos Mande mensagem pra bos-br-request@sekure.org Ponha "subscribe bos-br" no corpo da mensagem. ---- sekure/uground industries (tm) - 1998