You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1377

[Generic/Sun Java Web Proxy Server] Pufferüberlaufschwachstellen im Sun Java System Proxy Server
(2007-05-31 10:03:15.992915+00) Druckversion

Quelle: http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=536

Mehrere Pufferüberlaufschwachstellen im SOCKS-Proxy des SUN JAVA System Web Proxy können von Angreifern dazu ausgenutzt werden, über eine Netzwerkverbindung unauthentifiziert beliebigen Programmcode mit root-Rechten auf dem beherbergenden Rechnersystem auszuführen.

Betroffene Systeme

  • Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für SPARC Solaris
  • Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für x86 Solaris
  • Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für Linux
  • Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für Windows
  • Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für HP-UX
  • Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für AIX

Nicht betroffene Systeme

  • Sun Java System Web Proxy Server 4.0.5
  • Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor
SOCKS-Session zu einem verwundbaren SUN JAVA Web Proxy Server

Angriffsvoraussetzungen
Netzwerkverbindung zu einem verwundbaren System
(remote)

Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit root-Privilegien
(system compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der Sun Java System Web Proxy Server 4.0 ist ein kostenloses Proxy-System der Sun Microsystems Inc. und Teil des Sun Solaris Enterprise System. Neben Web-Proxy-Funktionalität, URL-Filterung und LDAP-Unterstützung beinhaltet er auch einen SOCKS-Proxy. Der Sun Java System Web Proxy Server ist für Solaris-, Linux- und Windows-Plattformen verfügbar.

SOCKS-Proxies werden meist eingesetzt, um hinter einer Firewall stehenden Rechnersystemen den kontrollierten Netzverkehr mittels beliebiger Protokolle zu und von externen Rechnersystemen zu ermöglichen. Dadurch, dass alle Verbindungen über das Proxy-System aufgebaut und unterhalten werden müssen, kann erwünschter Verkehr kontrolliert ermöglicht werden, ohne die Schutzwirkung der Firewall durch Ausnahmeregeln schwächen zu müssen. Einem solchen Proxy-System und dessen Sicherheit kommt so in einer entsprechend konfigurierten IT-Infrastruktur zentrale Bedeutung zu.

Beschreibung
Mehrere Pufferüberlaufschwachstellen im SOCKS-Proxy-Daemon sockd des Sun Java System Web Proxy Server 4.0.4 können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des sockd auf dem beherbergenden Rechnersystem auszuführen. Da dies im Allgemeinen root-Privilegien sind, führt eine erfolgreiche Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems.

Die Schwachstelle betrifft den Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen unter Solaris-Betriebssystemen für SPARC- und x86-Architekturen, Linux, Windows-Betriebssystemen sowie den Unix-Derivaten HP-UX und AIX.

Um die Schwachstelle erfolgreich auszunutzen, muss der Angreifer lediglich in der Lage sein, eine SOCKS-Session zu einem verwundbaren System über eine Netzwerkverbindung aufzubauen. Weitere Angriffsvoraussetzungen, insbesondere Authentifizierungsdaten, sind nicht erforderlich.

Nachdem in der voreingestellten Konfiguration sockd durch einen Watchdog-Prozess überwacht wird, der den Daemon wieder startet, wenn er abgestürzt ist, kann sich ein Angreifer u.U. auch Fehlschläge beim Ausnutzen der Schwachstelle leisten ohne sein Ziel dauerhaft außer Funktion zu setzen.

Workaround

  • Abschaltung des sockd
  • Schutz des Proxysystems vor Zugriffen von nicht vertrauenswürdigen Systemen, beispielsweise durch Einsatz einer Firewall.
    Hierbei ist zu beachten, dass in mehrschrittigen Angriffsszenarien auch als vertauenswürdig eingestufte Systeme (beispielsweise infizierte Arbeitsplatzsysteme ohne besondere Privilegien im Netz) missbraucht werden können, um ein zentrales Proxysystem anzugreifen und so Kontrolle über die von diesem System vermittelten Netzwerkverbindungen zu erlangen.
Diese Maßnahmen beseitigen die Schwachstelle nicht, können jedoch dazu beitragen, die Anzahl der Systeme bzw. IP-Adressen einzuschränken, die einen erfolgversprechenden Angriff durchführen können.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.