Seis fabricantes, entre los que se incluyen IBM, HP y Sun, han sido avisados de la vulnerabilidad de las ventas con respecto a varios sistemas Unix, lo cual podría permitir que un atacante se hiciera con el control de un sistema afectado. ISS (Internet Security Systems) identificó la vulnerabilidad de Unix hace casi un mes y la compañía advirtió de los problemas en los sistemas de dichas seis empresas. ISS y CERT (Computer Emergency Response Team) han ofrecido asesoramiento sobre el problema, mientras que Caldera, Compaq e IBM han diseñado un parche para solucionar la vulnerabilidad. Por su parte, HP discrepa sobre las versiones y alega que su Unix no necesita el parche.
Entretanto, Sun ha indicado que no hay problemas, pero que, no obstante, investigará más a fondo y SGI reconoce la existencia de vulnerabilidades CDE, que está investigando en este momento.
El software afectado incluye varias versiones del HP-UX de HP, AIX de IBM, Solaris de Sun, Caldera OpenUnix y UnixWare, y el Tru64 de Compaq.
El fallo que está afectando CDE se da, por defecto, en la mayoría de los servidores y equipos de escritorio que corren el sistema operativo, ha declarado Dan Ingevaldson, miembro del equipo de detección de vulnerabilidades en los sistemas de seguridad de ISS, quien insta a las compañías con sistemas Unix de cualquiera de los seis fabricantes a comprobarlos debido a la seriedad de la cuestión.
Según asesora CERT, el fallo existe en función del uso del CDE (Entorno de Escritorio Común). A causa de una petición en la ruta desde la que los clientes son validados, los piratas pueden manipular los datos y acusar una saturación en el buffer.
CERT revela que muchos sistemas Unix y Linux comunes se venden con CDE instalado, lo que permite fallos. En este sentido, algunos fabricantes de Unix han suministrado información, la cual se encuentra disponible a través del website de CERT. Asimismo, la firma ha avisado de que hasta que los parches estuvieran listos, los usuarios podrían disminuir su exposición, bien limitando o bien bloqueando el acceso a los Subprocess Control Services desde redes que no sean de confianza.
