Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2002-ALE-001
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 24 janvier 2002 No CERTA-2002-ALE-001 |
Affaire suivie par :
CERTA
Objet : Exploitation massive d'une faille de
CDE
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2002-ALE-001 |
Une gestion de version détaillée se trouve à la fin de ce document.
Compromission du système.
Tous les systèmes utilisant CDE (Common Desktop Environment).
Une vulnérabilité du démon dtspcd sous CDE, décrite dans l'avis CERTA-2001-AVI-139, est massivement exploitée.
Le démon dtspcd permet d'exécuter des applications à distance. Ce démon est par défaut en écoute sur le port 6112/tcp. Une vulnérabilité de ce démon récemment découverte est actuellement exploitée pour prendre le contrôle de machines à distance. Les symptômes d'une compromission par cette faille peuvent être l'ajout de fichiers dans le répertoire /usr/lib/ (par exemple, le fichier /usr/lib/libchetnix.a), ainsi que dans le répertoire /tmp/ (par exemple, le fichier /tmp/.fakex), ou encore des connexions rcp sortantes intempestives.
Filtrer le port 6112/tcp au niveau du garde-barrière. Si le service dtspc n'est pas nécessaire, le désactiver dans le fichier /etc/inetd.conf. Sinon, paramètrer tcp-wrappers pour n'autoriser que certaines machines à se connecter à ce service.
Mettre en place les correctifs proposés par votre éditeur.
Avis du CERT/CC :
http://www.cert.org/advisories/CA-2002-01.html