米CERT/CCは米国時間5月1日,Sun Solaris 2.5.1,2.6,7 および 8に含まれるrwallデーモン(rpc.rwalld)にセキュリティ・ホールがあることを明らかにした。悪用されると,Solarisマシン上で任意のコードを実行される恐れがある。実際の攻撃例は報告されていないものの,セキュリティ・ホールを検証するツール(Exploit)が公開されているという。パッチは未公開なので,デフォルトでは有効になっているrwallデーモン(wallサービス)を停止することで回避する。
rwallデーモンとは,wallサービス(コマンド)を処理するサーバー・プログラム。wallコマンドを使えば,そのホストにログインしている全ユーザーの画面上に,入力したメッセージを表示できる。
そのrwallデーモンに,書式文字列ぜい弱性(Format String Vulnerability)と呼ばれるセキュリティ・ホールが見つかった(書式文字列ぜい弱性については,「関連記事1」や「関連記事2」を参照のこと)。このセキュリティ・ホールを悪用するような文字列をrwallデーモンに送信されると,rwallデーモンの権限(通常はroot)で任意のコードを実行される恐れがある。
現時点ではパッチは公開されていない。そのため,デフォルトでは有効になっているrwallデーモンを停止することで,影響を回避する。具体的には,ネットワーク・サービスの設定ファイル「inetd.conf」中の「walld」行の初めに「#」を記入してコメント・アウトし,inetd.confを再起動する。
rwallデーモンを停止できない場合には,rwallデーモンが使用するUDPポート32777番をファイアウオールなどでふさいで,外部から攻撃できないようにする。
米Sun Microsystemsは現在パッチを作成中。完成すれば,同社サイトの「Paches」ページで公開する予定なので,管理者はチェックしたい。
◎参考資料
◆CERT Advisory CA-2002-10 Format String Vulnerability in rpc.rwalld
