home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0087.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  7.2 KB  |  177 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-94:15 
  6. Original issue date:  December 19, 1994
  7. Last revised: August 30, 1996
  8.               Information previously in the README was inserted
  9.               into the advisory.
  10.  
  11.               A complete revision history is at the end of this file.        
  12.  
  13. Topic: NFS Vulnerabilities
  14. - -----------------------------------------------------------------------------
  15.  
  16. The CERT Coordination Center is experiencing an increase in reports of root
  17. compromises caused by intruders using tools to exploit a number of NFS
  18. (Network File System) vulnerabilities.
  19.  
  20. CERT recommends limiting your exposure to these attacks by implementing 
  21. the security measures described in Section III below.
  22.  
  23. We will update this advisory as we receive additional information.
  24. Please check advisory files regularly for updates that relate to your site.
  25.  
  26. - -----------------------------------------------------------------------------
  27.  
  28. I.   Description
  29.  
  30.      There are tools being used by intruders to exploit a number of NFS
  31.      vulnerabilities. These tools are widely available and widely distributed.
  32.  
  33. II.  Impact
  34.  
  35.      The impact varies depending on which vulnerabilities are present.
  36.      In the worst case, intruders gain unauthorized root access from a
  37.      remote host.
  38.  
  39. III. Security Measures
  40.  
  41.      A. Filter packets at your firewall/router.  
  42.         
  43.         Filter TCP port 111, UDP port 111 (portmapper), TCP port 2049, 
  44.         and UDP port 2049 (nfsd). 
  45.  
  46.         Note: Some sites may run NFS on a port other than 2049. To determine
  47.               which port is running NFS, enter the following command on the
  48.               machine in question:
  49.                          rpcinfo -p 
  50.               If NFS is on a different port, then that is the port number to
  51.               block at the firewall.
  52.  
  53.         Consult your vendor or your firewall documentation for detailed
  54.         instructions on how to configure the ports.
  55.  
  56.         This measure will prevent access to NFS at your site from outside
  57.         your firewall, but it will not protect you from attacks launched from
  58.         your local network, behind your firewall. 
  59.         
  60.      B. Use a portmapper that disallows proxy access.
  61.         Be sure that you do this for every host that runs a portmapper.
  62.         For Solaris, 2.x, use a version of rpcbind that disallows proxy
  63.         access.
  64.  
  65.         A portmapper that disallows proxy access protects all hosts with the
  66.         modified portmapper from attacks that originate either inside or
  67.         outside your firewall. Because this security measure addresses only
  68.         the portmapper vulnerability, we recommend combining it with
  69.         measure A above. 
  70.  
  71.         Wietse Venema has developed a portmapper that disallows proxy access.
  72.         It is available by anonymous FTP from 
  73.  
  74.              ftp.win.tue.nl:/pub/security/portmap_3.shar.Z
  75.              info.cert.org:/pub/tools/nfs_tools/portmap_3.shar.Z
  76.         
  77.              MD5 checksum: f6a3ad98772e7a402ddcdac277adc4a6
  78.  
  79.          For Solaris systems, Venema has developed a version of rpcbind that
  80.          does not allow proxy access. Solaris users should install this
  81.          program, not the portmapper. Rpcbind is available by anonymous FTP
  82.          from the same sites as the portmapper: 
  83.  
  84.             ftp.win.tue.nl:/pub/security/rpcbind_1.1.tar.Z
  85.             info.cert.org:/pub/tools/nfs_tools/rpcbind_1.1.tar.Z
  86.  
  87.             MD5 checksum:  58437adcbea0a55e37d3a3211f72c08b
  88.             
  89.      C. Check the configuration of the /etc/exports files on your hosts.
  90.         In particular:
  91.  
  92.          1. Do *not* self-reference an NFS server in its own exports file.
  93.  
  94.          2. Do not allow the exports file to contain a "localhost" entry.
  95.  
  96.          3. Export file systems only to hosts that require them.
  97.  
  98.          4. Export only to fully qualified hostnames.
  99.  
  100.          5. Ensure that export lists do not exceed 256 characters.
  101.             If you have aliases, the list should not exceed 256 characters
  102.             *after* the aliases have been expanded.                    
  103.             (See CA-94:02.REVISED.SunOS.rpc.mountd.vulnerability.)
  104.  
  105.          6. Use the showmount(8) utility to check that exports are correct.
  106.  
  107.          7. Wherever possible, mount file systems to be exported read only and
  108.             export file systems read only.
  109.  
  110.       D. Ensure that your systems are current with patches and workarounds
  111.          available from your vendor and identified in CERT advisories.
  112.  
  113.          The following advisories address problems related to NFS:
  114.              CA-91:21.SunOS.NFS.Jumbo.and.fsirand
  115.              CA-92:12.REVISED.SunOS.rpc.mountd.vulnerability
  116.              CA-92:15.Multiple.SunOS.vulnerabilities.patches
  117.              CA-93:15.SunOS.and.Solaris.vulnerabilities
  118.              CA-94:02.REVISED.SunOS.rpc.mountd.vulnerability
  119.  
  120.          Vendors may have additional patches not covered by a CERT
  121.          advisory, so be sure to contact your vendor for further information.
  122.  
  123. - ---------------------------------------------------------------------------
  124. The CERT Coordination Center thanks Steve Bellovin, Casper Dik, Leendert 
  125. van Doorn, and Wietse Venema for their support in responding to this problem.
  126. - ---------------------------------------------------------------------------
  127.  
  128. If you believe that your system has been compromised, contact the CERT
  129. Coordination Center or your representative in Forum of Incident
  130. Response and Security Teams (FIRST).
  131.  
  132. If you wish to send sensitive incident or vulnerability information to
  133. CERT via electronic mail, CERT strongly advises that the e-mail be
  134. encrypted.  CERT can support a shared DES key, PGP (public key
  135. available via anonymous FTP on info.cert.org), or PEM (contact CERT
  136. for details).
  137.  
  138. Internet E-mail: cert@cert.org
  139. Telephone: 412-268-7090 (24-hour hotline)
  140.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
  141.            and are on call for emergencies during other hours.
  142.  
  143. CERT Coordination Center
  144. Software Engineering Institute
  145. Carnegie Mellon University
  146. Pittsburgh, PA 15213-3890
  147. USA
  148.  
  149. Past advisories, CERT bulletins, information about FIRST representatives, 
  150. and other information related to computer security are available for anonymous
  151. FTP from info.cert.org.
  152.  
  153. Copyright 1994, 1995, 1996 Carnegie Mellon University
  154. This material may be reproduced and distributed without permission provided
  155. it is used for noncommercial purposes and the copyright statement is
  156. included.
  157.  
  158. CERT is a service mark of Carnegie Mellon University.
  159.  
  160. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  161. Revision history
  162.  
  163. Aug. 30, 1996  Information previously in the README was inserted
  164.                into the advisory.
  165. Feb. 02, 1995  Sec. III - Added a note about checking port numbers.
  166.  
  167. -----BEGIN PGP SIGNATURE-----
  168. Version: 2.6.2
  169.  
  170. iQCVAwUBMiSqfXVP+x0t4w7BAQETTwP+O5oyYH9AajUwfWv6vMRFMQCirDYZ5a+f
  171. QXxnrmsjYLNRylKANCX31t3nc1ajr04iJsBp+r0qzQRgvRHPYNfmdv7yoHOKaEKX
  172. pcHwBIC0eN0O3J0LoueLEhRdoc21vRRijRYNLOGrNd56iADVsT3To99m6AzMxBpc
  173. ySVFfYqT0Yk=
  174. =iyDB
  175. -----END PGP SIGNATURE-----
  176.  
  177.