米CERT/CCは米国時間7月11日,UNIX/Linux OSに含まれる「CDE ToolTalk RPC データベース・サーバー(rpc.ttdbserverd)」* のセキュリティ・ホールを警告した。悪用されると,リモートから任意のコード(プログラム)やコマンドを実行される恐れがある。
* CDE(Common Desktop Environment)とは,UNIX/Linux OSで動作する統合GUI環境のこと。CDE ToolTalk とは,異なるアプリケーション間の通信を仲介するシステムのことである。ToolTalk RPC データベース・サーバー「rpc.ttdbserverd」は,このToolTalkにおいて通信を管理するサーバー・プログラムである。
対策はOSベンダーが提供するパッチを適用すること。パッチを適用するまでは,ToolTalk RPC データベース・サーバーを停止して回避する。また,ファイアウオールなどで同サーバーが使用するポート(TCPの692番など)をふさぐことで,外部からの攻撃を防げる。
rpc.ttdbserverdのセキュリティ・ホールは過去にも見つかっている(関連記事)。今回公表された2種類のセキュリティ・ホールはそれとは異なる。セキュリティ・ホールの詳細についてはCERT/CCの情報などを参照してほしいが,悪用されると,リモート・ユーザーに任意のコードをサーバー上で実行されたり,ローカル・ユーザーに任意のファイルの内容を変更されたりしてしまう。
影響を回避するためには,各OSベンダーが提供するパッチを適用する必要がある。しかし,CERT/CCの情報(Appendix A. - Vendor Information)によると,現時点ではパッチは公開されていない模様である。米Hewlett-Packardは今回の影響を受けないプログラム(rpc.ttdbserverd)を公開しているが,あくまでも一時的なもので,パッチが公開されたら同社のサイトからこのプログラムを削除するとしている。
CERT/CCの情報は適宜更新されるので,パッチが公開されるまではOSベンダーのサイトと併せてチェックしたい。
パッチが公開されるまでの回避法は,rpc.ttdbserverdを停止すること。サーバー・プログラムの設定ファイルである「/etc/inetd.conf」中のrpc.ttdbserverdの項をコメント・アウトしてから,inetdを再起動する(詳細はCERT/CCの情報を参照 )。ただし,rpc.ttdbserverdのサービスを使用しているプログラムがあるかもしれないので,停止の際には注意する。
rpc.ttdbserverdが使用するポートをファイアウオールなどでふさぐことも,外部からの攻撃を防ぐために有効である。rpc.ttdbserverdが使用するポートは,「rpcinfo」コマンドで調べられる。ただし,内部からの攻撃は当然防げない。
◎参考資料
◆CERT Advisory CA-2002-20 Multiple Vulnerabilities in CDE ToolTalk
