El demonio RPC.STATD permite la ejecución de código arbitrario en la máquina atacada, típicamente con los privilegios de «root».
RPC.STATD es un demonio utilizado en sistemas NFS para obtener información sobre bloqueos (locks). Un error en la comunicación entre RPC.STATD y el demonio SYSLOGD permite que un usuario ejecute código arbitrario en el servidor.
La solución es actualizar el RPC.STATD (en estos momentos todas las distribuciones LINUX están ya actualizadas). No se puede eliminar el proceso porque ello interfiere con el sistema de ficheros NFS, aunque ello no será un problema si no se está utilizando NFS. Tampoco se puede hacer un filtrado por cortafuegos, ya que RPC.STATD se ejecuta sobre un puerto dinámico, como la mayoría de los procesos RPC.
El problema afecta fundamentalmente a máquinas Linux. Los sistemas *BSD e IRIX no son vulnerables. En este momento el ataque está siendo explotado de forma masiva, por lo que se recomienda que se verifique la vulnerabilidad en cada sistema y se adopten las acciones apropiadas.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=696
M s informaci¢n:
CERT Advisory CA-2000-17: Input Validation Problem in rpc.statd
http://www.cert.org/advisories/CA-2000-17.html
Multiple Linux Vendor rpc.statd Remote Format String Vulnerability
http://www.securityfocus.com/bid/1480
rpc.statd: remote root exploit
http://www.debian.org/security/2000/20000719a
Jesos Cea Avi¢n
jcea@hispasec.com
http://www.hispasec.com
