Multiple Vendor CDE ToolTalk Database Server NULL写漏洞

发布时间：2002-07-15
更新时间：2002-07-15
严重程度：高
威胁程度：远程管理员权限
错误类型：访问验证错误
利用方式：服务器模式

BUGTRAQ ID：5082
CVE(CAN) ID：CAN-2002-0677

受影响系统

Caldera OpenUnix 8.0
Caldera UnixWare 7
Caldera UnixWare 7.1 .0
Caldera UnixWare 7.1.1
Compaq Tru64 4.0 g
Compaq Tru64 4.0 f
Compaq Tru64 5.0 a
Compaq Tru64 5.1 a
Compaq Tru64 5.1
HP HP-UX 10.10
HP HP-UX 10.20
HP HP-UX 11.0
HP HP-UX 11.11
IBM AIX 4.3.3
IBM AIX 5.1
SGI IRIX 5.2
SGI IRIX 5.3
SGI IRIX 6.0
SGI IRIX 6.0.1
SGI IRIX 6.1
SGI IRIX 6.2
SGI IRIX 6.3
SGI IRIX 6.4
SGI IRIX 6.5
SGI IRIX 6.5.1
SGI IRIX 6.5.2
SGI IRIX 6.5.3
SGI IRIX 6.5.4
SGI IRIX 6.5.5
SGI IRIX 6.5.6
SGI IRIX 6.5.7
SGI IRIX 6.5.8
SGI IRIX 6.5.9
SGI IRIX 6.5.10
SGI IRIX 6.5.11
SGI IRIX 6.5.12
SGI IRIX 6.5.13
SGI IRIX 6.5.14
SGI IRIX 6.5.15
SGI IRIX 6.5.16
Sun Solaris 2.5.1
Sun Solaris 2.6
Sun Solaris 7.0
Sun Solaris 8.0
Sun Solaris 9.0
Xi Graphics DeXtop 2.1

详细描述
CDE包含ToolTalk数据库服务程序的守护程序，ToolTalk数据库服务程序设计用来程序可以在CDE环境中互相通信，多数系统默认包含此程序。

ToolTalk database server存在漏洞允许NULL WORD字节写到内存任意位置，问题存在于用于TOOLTALK客户端关闭打开TOOLTALK数据库的_TT_ISCLOSE过程对输入缺少验证造成的。

_TT_ISCLOSE RPC接收文件描述符作为参数，这个整数值用作写服务内存中的结构索引，由于对index的值范围缺少限制，客户端可以提供恶意文件描述符值导致写到内存表以外的内存地址中。这个值以NULL WORD的值写内存，所以导致利用比较困难。

但是由于存在其他可以允许进行复杂的功能，存在远程删除/建立文件和代码命令执行漏洞。

利用这个漏洞的时候需要客户端提供AUTH_UNIX验证信息，不过这个信息可被攻击者容易的欺骗。

测试代码
无

解决方案
在inetd.conf中关闭ToolTalk服务，或者去相关供应商查看补丁信息。

相关信息
Ricardo Quesada of CORE Security Technologies.
参考：http://online.securityfocus.com/advisories/4270
http://online.securityfocus.com/advisories/4271
http://online.securityfocus.com/archive/1/281545

最近严重漏洞

Multiple Vendor CDE ToolTalk Database Server NULL写漏洞