=================================================================== Message d'alerte du CERT-RENATER (certsvp@renater.fr) =================================================================== Bonjour, Recemment un programme permettant d'exploiter une vulnerabilite du demon telnetd sur IRIX a ete publiee (note 2000/VULN219). Ce programme (exploit) permet a un utilisateur normal l'execution de commandes avec des droits de root (utilisateur privilegie ou super-utilisateur). Il semblerait, selon un message poste sur Bugtraq (liste de discussions traitant des problemes de securite des logiciels et des systemes), que les systemes IRIX 5.2-6.1 soient vulnerables. Il semble que cette vulnerabilite soit activement exploitee, du cote des Etats-Unis tout au moins, car le CERT/CC americain recoit en ce moment un nombre non negligeable de rapports de piratages ayant ete effectues par ce biais: http://www.cert.org/incident_notes/IN-2000-09.html Lors de compromissions reussies ils ont pu observer des messages syslog du type: overly long syslog message detected, truncating telnetd[xxxxx]: ignored attempt to setenv (_RLD, ^?D^X^\ ^?D^X^^ ^D^P^?^?$^B^Cs#^?^B^T#d~^H#e~^P/d~^P/`~^T#`~^O ^C ^?^?L/bin/sh ou overly long syslog message, integrity compromised, aborting Ensuite il y a en general ajouts de compte utilisateur avec les privileges du super utilisateur, installation d'outils divers dont des rootkits (qui camouflent la presence du pirate), des sniffers et des logiciels irc (permettant de se connecter a des forums de discussion sur Internet). Aucun probleme de ce type ne nous a ete signale pour l'instant mais la vigilance est de rigueur. Aucun patch n'est disponible pour l'instant. Cependant il est toujours possible de desactiver le demon telnet quand ce service n'est pas absolument nécessaire. De plus il est possible de mettre en place des regles de filtrage sur les routeurs pour limiter les acces a ce service depuis l'exterieur et d'utiliser tcp-wrapper: ftp://ftp.porcupine.org/pub/security/index.html qui fournit un controle d'acces a ce service. Cordialement, ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 151 bd de l'Hopital | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================