============================================================================== SECURITY ADVISORY CERT-IT ============================================================================== Author/Source : CERT-IT Index : S-94-06 Distribution : World Size : 2680 Classification: External Version: Final Subject : AIX 3.2.x rshd/rlogind vulnerability Date : 22-05-94 ============================================================================== ======== Abstract ======== Con rsh/rlogin e` possibile collegarsi come root, senza alcuna autenticazione, su qualsiasi macchina IBM con sistema operativo AIX 3.2.x. =========== Descrizione =========== Qualunque utente, senza che sia presente alcun file come .rhosts o /etc/hosts.equiv, e` in grado di collegarsi come root. Per fare cio` e` sufficiente usare il comando rsh/rlogin specificando opportunamente le opzioni -l e -f. Il problema e` una conseguenza di un erroneo trattamento delle opzioni da parte del daemon rlogind. Tali opzioni, infatti, vengono passate direttamente al programma /usr/sbin/tsm. ====== Rimedi ====== Come prima cosa, se la vostra macchina e` connessa ad Internet e il daemon rshd/rlogind e` accessibile dall'esterno, consigliamo di disabilitare, commentandoli, i servizi ``shell'' e ``login'' dal file /etc/inetd.conf: #shell stream tcp nowait root /etc/rshd rshd #login stream tcp nowait root /etc/rlogind rlogind Dopo aver editato /etc/inetd.conf bisogna informare inetd dei cambiamenti. Basta mandare un segnale di SIGHUP a inetd con: # kill -HUP `ps -el | grep inetd | awk '{ print $4 }'` E` consigliabile applicare una ``emergency patch'' distribuita da IBM. La patch e` disponibile in: ftp@ftp.dsi.unimi.it: /pub/security/patches/aix/xlf/rlogin.tar.Z oppure in: ftp@software.watson.ibm.com: /pub/rlogin/rlogin.tar.Z E` probabile che nei prossimi giorni vengano distribuite altre patch ufficiali. Informazioni al riguardo saranno diffuse sulla mailing list unix-security. =========== Prevenzione =========== Ricordiamo che i daemon rshd e rlogind effettuano una autenticazione ``host based'' che e` facilmente superabile con tecniche di hostname spoofing. Consigliamo vivamente che tutti i sistemi direttamente connessi ad Internet blocchino le connessioni rsh/rlogin provenienti dall'esterno tramite tramite tcp-wrapper o altri metodi (es: Cisco router ACL). ================================================================================