2001-11-29 11:50:23

Шесть производителей, включая IBM, Hewlett-Packard и Sun Microsystems, предупреждены об ошибке, позволяющей хакерам получать контроль над их Unix-системами.
Компания Internet Security Systems (ISS) обнаружила серьезный пробел в защите Unix примерно месяц назад и предупредила об этом шесть производителей. Теперь ISS вместе с организацией Computer Emergency Response Team (Cert) опубликовала бюллетень, посвященный этой проблеме. Согласно рекомендациям Cert, источником уязвимости является функция, используемая средой Common Desktop Environment (CDE). Из-за ошибки в способе запроса подтверждения подлинности клиента хакеры могут манипулировать данными и вызывать переполнение буфера. Ошибка присутствует в ряде версий HP-UX, IBM AIX, Sun Solaris, Caldera OpenUnix и UnixWare и Compaq Tru64 Unix.

В Caldera, Compaq и IBM сообщили, что эти компании подготовили патч; НР все еще спорит по поводу того, какие версии ее ОС нуждаются в поправке, а Sun вообще отрицает наличие проблемы, но обещает провести дополнительное исследование. SGI признала факт уязвимости CDE и занимается его изучением.

«Ошибка CDE присутствует в конфигурациях по умолчанию большинства Unix-серверов и десктопов», — сказал руководитель отдела изучения уязвимости защиты ISS Дэн Ингвалдсон (Dan Ingevaldson). По его словам, ни один из известных хакерских инструментов не использует эту ошибку, но она достаточно серьезна, чтобы ISS срочно предупредила компании, работающие с Unix-системами шести производителей.

В Cert сообщили, что многие распространенные Unix- и Linux-системы поставляются с установленной и активизированной по умолчанию средой CDE. Некоторые производители Unix представили информацию по этому поводу — вся она опубликована на веб-сайте Cert. Cert рекомендует пользователям до установки патчей ограничить или заблокировать доступ к Subprocess Control Services из ненадежных сетей.

ZDNet