米CERT/CCは米国時間1月14日,UNIX OSのサーバー・プログラム「CDE Subprocess Control Service(dtspcd)」を狙った攻撃が多発していることを警告した。dtspcdは,UNIX OSの統合GUI環境「CDE」で使用されるプログラムの一つである。特に Solaris OS の dtspcd が狙われている。Solaris に限らず,多くのUNIX OSにおいて,CDEはデフォルトで動作するように設定されている。対象となるUNIX OSのユーザーはパッチを適用したり,アクセス制限を施したりして,攻撃を回避する必要がある。
dtspcd のセキュリティ・ホールについては,CERT/CCや米Internet Security Systems(ISS)などが,2001年11月に警告している([関連記事])。しかし,このセキュリティ・ホールを突くような攻撃が多数報告されていることから,CERT/CCは改めて警告した。このセキュリティ・ホールを突かれると,root権限(管理者権限)で任意のコードを実行される恐れがある。
CERT/CCの情報によると,米IBM のAIXや米Hewlett PackardのHP-UX,米SunのSolarisなどに含まれるdtspcdにセキュリティ・ホールが存在するという(詳しくはCERT/CCの情報を参照してほしい)。このうち,特にSolarisが攻撃されている。
対策は,ベンダーが公開しているパッチを適用したり,dtspcdが使用するポートTCP 6112番をファイアウオールなどで遮断したりすること。dtspcdを停止することも有効である。dtspcdが稼働しているかどうかは,UNIXの設定ファイルで確認できる。具体的には,「/etc/services」ファイルに
dtspc 6112/tcp
の記述があり,「/etc/inetd.conf」に
dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd
の記述がある場合に,dtspcdは稼働している。これらをコメント・アウトして再起動すれば,dtspcdは起動しない。しかし,dtspcdを稼働させないと,他のCDEアプリケーションに影響を与える恐れがあるので注意が必要だ([関連記事])。
dtspcdを狙う攻撃は,TCPポートの6112番に対して行われる。しかし,インターネット・ゲームの中には,同じくこのポートを使用するものが存在する。そのため,TCPポート 6112番へのアクセスがあっても攻撃とは限らないので,注意するよう管理者に呼びかけている。
◎参考資料
◆CERT Advisory CA-2002-01「Exploitation of Vulnerability in CDE Subprocess
Control Service」
◆CERT Advisory CA-2001-31「Buffer Overflow in CDE Subprocess Control Service」
◆Vulnerability Note VU#172583「Common Desktop Environment (CDE) Subprocess Control Service dtspcd contains buffer overflow」
