多家厂商rpc.ypupdated远程可执行任意命令漏洞

漏洞信息详情

多家厂商rpc.ypupdated远程可执行任意命令漏洞

• CNNVD编号：CNNVD-199512-003
• 危害等级： 超危
  
  
• CVE编号：
  CVE-1999-0208
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  1995-12-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-07-16
  
• 厂        商：
  
  sgi
• 漏洞来源：
  Josh D.※ mcpheea@c…

rpc.ypupdated RPC守护进程是Network Information Service (NIS)的一个组件，它使NIS客户端更新自己的NIS数据库。
rpc.ypupdated守护进程实现上存在输入验证漏洞，远程攻击者可能利用此漏洞以root用户的权限在主机上执行任意命令。
当守护进程收到一个Yello Pages的更新请求，它会调用Bource Shell执行\’\’make\’\’命令来重新计算数据库，由于没有对用户输入进行充分过滤和检查，远程攻击者可以在输入中插入某些Shell转义符来执行攻击者指定的命令。

厂商补丁：
SGI
—
SGI已经为此发布了一个安全公告(19951201-01-P)以及修补建议:
19951201-01-P：Avalon Security Research – rpc.ypupdate slammer exploit CERT CA-95:17 rpc.ypupdated Vulnerability
链接：ftp://patches.sgi.com/support/free/security/advisories/19951201-01-P
修补建议：
1. 变成root用户
% /bin/su
Password:
#
2. 查看机器上是否运行了ypupdated服务，如果没有返回东西，则可能ypupdated处于关闭状态，但为了完全起见还是建议执行接下来的操作。
# rpcinfo -p localhost | grep ypupdate
100028 tcp 206 ypupdated
#
3. 编辑/usr/etc/inetd.conf (3.x and 4.x)或/etc/inetd.conf (5.0.x, 5.1.x, and 5.2)，在有ypupdate那行前面加个”#”字符将其注释掉。
# vi /usr/etc/inetd.conf
找到如下这行：
ypupdated/1 stream rpc/tcp wait root /usr/etc/rpc.ypupdated ypupdated
在其前面加”#”：
#ypupdated/1 stream rpc/tcp wait root /usr/etc/rpc.ypupdated ypupdated
存盘退出。
4.重启inetd
# /etc/killall -HUP inetd
5. 验证ypupdate已经不再运行了
# rpcinfo -p localhost | grep ypupdate
#
6. 返回普通用户状态
# exit
$

Vulnerable software and versionsConfiguration 1OR* cpe:/o:sgi:irix:3* cpe:/o:sgi:irix:4* cpe:/o:sgi:irix:5.0* cpe:/o:sgi:irix:5.1* cpe:/o:sgi:irix:5.2Configuration 2OR* cpe:/o:ibm:aix:3.2* cpe:/o:ibm:aix:4.1* cpe:/o:nec:asl_ux_4800* cpe:/o:nec:ews-ux_v* cpe:/o:nec:up-ux_v* Denotes Vulnerable Software* Changes related to vulnerability configurations

Technical DetailsVulnerability Type (View All)
CVE Standard Vulnerability Entry:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0208