Производители и специалисты имеют разные мнения о природе проблемы и способах ее решения

Common Desktop Environment — интегрированный графический интерфейс пользователя, определяющий единый стандартный для Unix графический интерфейс для управления данными, файлами и приложениями
Компания Internet Security Systems сообщила о серьезном изъяне в защите, связанном с программным обеспечением для Unix, выпускаемым шестью производителями: Sun Microsystems, Compaq Computer, Hewlett-Packard, Caldera Systems, Silicon Graphics и IBM. Однако производители и специалисты ISS придерживаются разных мнений о природе проблемы и способах ее решения.

Проблема, о которой также говорится в документах CERT, посвященных вопросам защиты, состоит в том, что хакеры могут использовать атаку, вызывающую переполнение буфера, для того чтобы получить управление с правами root над серверами Unix. Самые серьезные опасения вызывает тот факт, что злоумышленники могут использовать сервер примерно так же, как в свое время был использован Web-сервер корпорации Microsoft, когда были созданы компьютерные «черви» Code Red и Nimda, нанесшие огромный ущерб.

Но производители Unix не разделяют некоторые выводы специалистов фирмы ISS, выпускающей программное обеспечение защиты. В HP не согласны с оценкой версий HP-UX, нуждающихся в модернизации, а представители Sun заявили, что проблемы вообще не существует. Однако Caldera, Compaq, HP и IBM объявили о выпуске заплаток, устраняющих этот дефект. Из-за возникшей в результате путаницы администраторы систем Unix оказались практически не в состоянии справиться со сложившейся ситуацией.

«Если производители знают о существовании проблемы, они должны как можно быстрее выпустить соответствующие заплатки. Иначе пользователи могут запаниковать, если узнают, что производителям известно о проблеме, но они не в состоянии ничего сделать», — заметил Дейв Андерсен, старший системный инженер компании Verizon Communications.

«Нам, разумеется, хотелось бы знать обо всех дефектах программного обеспечения, — сказал Нейл Сипнгер, системный администратор лаборатории Sandia National Labs. — Мы предпочитаем услышать о проблеме до появления заплаток, если таковые нужны».

Со своей стороны, ISS предупредила сетевых администраторов о необходимости следовать советам производителей, отмечая, что отключение Common Desktop Environment (CDE) или определенного компонента может привести к отказу приложений Unix.

Caldera всячески пытается сгладить остроту проблемы, заявляя, что время от времени проявляются те или иные уязвимые места в ОС Unix, и необходимо быстрее устранить их. «Такие вопросы мы пытаемся решить максимально оперативно», — заметил Дрю Спенсер, директор Caldera по технологиям.

Но противоречий очень много. Представители ISS заявили, что последние версии операционной системы HP-UX 11 и 11i имеют дефекты защиты, и должны быть выпущены заплатки. Категорически не согласны с ними представители HP.

«Версии HP 11 и 11i операционной системы HP-UX уже имеют встроенную защиту от переполнения буфера, а также функции обнаружения вторжений, поэтому пользователям нет необходимости беспокоиться», — сказал Рэм Аппалараджу, директор по маркетингу HP-UX. Он подчеркнул, что, по мнению ISS, в заплатках нуждаются унаследованные версии, и такие заплатки есть у HP.

Дэн Ингевальдсон, руководитель группы ISS-подразделения, получившего название X-Force, которое сообщило об обнаружении новых изъянов защиты, заявил: ISS настаивает на том, что либо необходимо установить заплатку для HP-UX 11 и 11i, либо отключить модуль CDE.

Представители ISS заявили, что дефект CDE проявляется и на платформе Sun Solaris. «У нас нет возможностей проверить все эти платформы Unix», — заметил Ингевальдсон.

Sun очень неохотно подтвердила, что ошибка Unix CDE проявляется и на платформе Solaris. Представители компании заявили, что сейчас проводятся исследования и не исключено, что заплатка для Solaris никогда не появится. Sun рекомендует, следуя советам специалистов ISS и CERT, отключить сомнительный компонент CDE — сервера управления подпроцессами (dtspcd).

«Можем ли мы утверждать, что этот дефект сказывается отрицательно на работе всей системы? Однозначно сказать нельзя», — заявил представитель Sun Рассел Кастронова.

Однако он отметил, что «доступ с правами root в Unix — это серьезная проблема», и пользователи Solaris, скорее всего, последуют совету CERT и ISS и отключат CDE. В то же время ISS порекомендовала системным администраторам обратиться за советом непосредственно к производителям.

Как отметил Ингевальдсон, ISS известно об изъяне защиты CDE уже в течение месяца, компания не хотела до середины декабря сообщать об имеющейся проблеме, чтобы таким образом дать производителям время подготовить заплатки. Представители IBM сообщили, что были уведомлены о проблеме 30 октября и вскоре представили свою заплатку.

Но когда представитель Caldera публично высказался об этой проблеме на страницах списка рассылки Ntbugtrak, представители ISS забили тревогу.

В ISS считают этот дефект серьезным еще и потому, что компонент CDE, как правило, включается по умолчанию. Поэтому маловероятно, что системные администраторы выполняют настраиваемую установку Unix и отключают CDE.