Boletines de Vulnerabilidades |
Denegación de servicio y obtención de información en rpc.mountd de IRIX 6.5 |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Denegación de Servicio |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | UNIX |
| Software afectado | IRIX 6.5 <= 6.5.22 |
Descripción |
|
|
Se han encontrado múltiples vulnerabilidades en rpc.mountd que afectan a las versiones anteriores a IRIX 6.5.22. Un atacante remoto puede comprobar la existencia de un archivo en un servidor intentando montar dicho archivo, lo cual genera un error diferente dependiendo de si el archivo está en el servidor o no. (CAN-1999-1225) Bajo ciertas circunstancias rpc.mountd permite montar peticiones desde puertos sin privilegios aunque se haya utilizado la opción -n. (CAN-2003-0796) Se puede producir una situción de denegación de servicio remota de rpc.mountd, relizando un DoS temporal en el servicio NFS. (CAN-2003-0797) |
|
Solución |
|
|
Si lo desea, aplique los mecanismos de actualización propios de su sistema, o bien descargue las fuentes del software y compílelo usted mismo. Actualización de software SGI IRIX IRIX 6.5 <= 6.5.17: SGI ha anunciado que estas versiones son vulnerables pero no están soportadas actualmente, por lo que se recomienda actualizar a una versión más reciente. IRIX 6.5.18m: instale el parche 5427 IRIX 6.5.18f: instale el parche 5427 IRIX 6.5.19m: instale el parche 5429 IRIX 6.5.19f: instale el parche 5428 IRIX 6.5.20m: instale el parche 5427 IRIX 6.5.20f: instale el parche 5427 IRIX 6.5.21m: instale el parche 5426 IRIX 6.5.21f: instale el parche 5426 IRIX 6.5.22: instale el parche 5426 Descarga de actualizaciones de SGI IRIX http://support.sgi.com/irix/swupdates/ |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CAN-1999-1225 CAN-2003-0796 CAN-2003-0797 |
| BID | |
Recursos adicionales |
|
|
SGI Security Advisory 20031102-03-P ftp://patches.sgi.com/support/free/security/advisories/20031102-03-P.asc |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2004-08-12 |