Interessati i sistemi operativi di tutti i big del settore. La vulnerabilità risiede nell’interfaccia CDE e per il momento è stata sistema solo da Caldera.
Internet Security Systems ha aspettato per un mese prima di rendere pubblica una scoperta dei propri laboratori su una vulnerabilità dei sistemi Unix più diffusi, quali quelli di Sun, HP, Ibm, Sgi, Compaq e Caldera. In questo lasso di tempo lo specialista della sicurezza ha atteso che le aziende sviluppassero le patch opportune. Caldera lo ha fatto adesso e ISS ha ritenuto fosse giunto il momento di rivelare il problema.
Proprio in questi giorni si sta dibattendo (si veda anche il forum Sicurezza di NetsTime) sulla necessità di regole in termini di “disclosure” sui buchi dei sistemi. ISS si è espressa a favore di una proposta Microsoft, tesa a escludere una full disclosure e a rendere possibile una parziale comunicazione solo dopo un determinato lasso di tempo dalla scoperta.
La vulnerabilità è inerente l’interfaccia CDE (Common Desktop Environment) e permetterebbe di prendere il controllo completo della root da remoto. Più precisamente, il problema è di buffer overflow e afferisce un componente del DCE: il demone dtspcd.