You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-69

[GNU/libc] Schwachstelle im DNS-Resolver
(2001-01-11 11:26:14+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/01/msg00146.html

Der DNS-Resolver versäumt es, in setuid-root-Programmen kritische Umgebungsvariablen zu ignorieren.

Betroffene Systeme
Alle GNU-basierten Systeme, die GNU libc 2.2 verwenden. Insbesondere sind dies:

  • Debian GNU/Linux (Sid und Woody, aber nicht Potato)
  • Red Hat Linux 7

Beschreibung
Durch ein fehlendes Komma in der Datei sysdeps/generic/unsecvars.h werden die Umgebungsvariablen RESOLV_HOST_CONF und RES_OPTIONS nicht in setuid-root-Programmen ignoriert, wie das der Fall sein sollte. Dadurch ist es auf manchen Systemen möglich, beliebige Dateien auszulesen. Falls ein setuid-root-Programm dem DNS-Dienst vertraut, kann dies auch schwer absehbare Folgen haben.

Gefahrenpotential
mittel bis hoch (bei echten Multi-User-Systemen)

Gegenmaßnahmen
Im CVS der GNU-libc-Entwickler befindet sich mittlerweile eine korrigierte Fassung der betreffenden Datei. Es ist zu erwarten, daß die betroffenden GNU/Linux-Distributoren diese Version demnächst zu verteilen beginnen. (fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.