Vulnerability Bulletins |
Denegación de servicio y obtención de información en rpc.mountd de IRIX 6.5 |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Denegación de Servicio |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | UNIX |
| Affected software | IRIX 6.5 <= 6.5.22 |
Description |
|
|
Se han encontrado múltiples vulnerabilidades en rpc.mountd que afectan a las versiones anteriores a IRIX 6.5.22. Un atacante remoto puede comprobar la existencia de un archivo en un servidor intentando montar dicho archivo, lo cual genera un error diferente dependiendo de si el archivo está en el servidor o no. (CAN-1999-1225) Bajo ciertas circunstancias rpc.mountd permite montar peticiones desde puertos sin privilegios aunque se haya utilizado la opción -n. (CAN-2003-0796) Se puede producir una situción de denegación de servicio remota de rpc.mountd, relizando un DoS temporal en el servicio NFS. (CAN-2003-0797) |
|
Solution |
|
|
Si lo desea, aplique los mecanismos de actualización propios de su sistema, o bien descargue las fuentes del software y compílelo usted mismo. Actualización de software SGI IRIX IRIX 6.5 <= 6.5.17: SGI ha anunciado que estas versiones son vulnerables pero no están soportadas actualmente, por lo que se recomienda actualizar a una versión más reciente. IRIX 6.5.18m: instale el parche 5427 IRIX 6.5.18f: instale el parche 5427 IRIX 6.5.19m: instale el parche 5429 IRIX 6.5.19f: instale el parche 5428 IRIX 6.5.20m: instale el parche 5427 IRIX 6.5.20f: instale el parche 5427 IRIX 6.5.21m: instale el parche 5426 IRIX 6.5.21f: instale el parche 5426 IRIX 6.5.22: instale el parche 5426 Descarga de actualizaciones de SGI IRIX http://support.sgi.com/irix/swupdates/ |
|
Standar resources |
|
| Property | Value |
| CVE |
CAN-1999-1225 CAN-2003-0796 CAN-2003-0797 |
| BID | |
Other resources |
|
|
SGI Security Advisory 20031102-03-P ftp://patches.sgi.com/support/free/security/advisories/20031102-03-P.asc |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-08-12 |