[Generic/bzip2] Schwachstelle in libzip2
(2010-09-22 16:21:01.758886+00) Druckversion
Quelle: http://www.bzip.org/downloads.html
Eine Pufferüberlaufschwachstelle in der von vielen Anwendungen genutzten freien Kompressionsbibliothek libbzip2 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherberegenden System auszuführen. Die neue Version 1.0.6 behebt diese Schwachstelle und es wird empfohlen, diese so rasch wie möglich zu installieren. Anwendungen, die entsprechenden Code von libbzip2 fest eingebaut haben, müssen ebenfalls aktualisiert werden.
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Nicht betroffene Systeme
- Plattform
- Einfallstor
- Angriffsvoraussetzung
- Angriffsvektorklasse
- Auswirkung
- Typ der Verwundbarkeit
- Gefahrenpotential
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Vulnerability ID
- Weitere Information zu diesem Thema
Zusammenfassung
- CVE-2010-0405:
Betroffen: libbzip2
vor Version 1.0.6Nicht betroffen: libbzip2
1.0.6Plattform: Unixoide Betriebssysteme
Microsoft WindowsEinfallstor: komprimierte Daten Angriffsvoraussetzung: Netzwerk Angriffsvektorklasse: remote Auswirkung: user compromise Typ: Speicherverletzung Gefahrenpotential: hoch bis sehr hoch Workaround: sehr bedingt Gegenmaßnahmen: neue Version Vulnerability ID: CVE-2010-0405
Betroffene Systeme
- Die Funktion
BZ2_decompress
indecompress.c
in bzip2 sowielibbzip2
der Versionen vor 1.0.6
Nicht betroffene Systeme
- bzip2 1.0.6
libbzip2
1.0.6
Plattform
- Unixoide Betriebssysteme
- Microsoft Windows
Einfallstor
- Komprimierte Daten, die auf einem betroffenen System dekomprimiert werden.
Angriffsvoraussetzung
-
Zugriff auf ein Netzwerk, über das entsprechende Daten an ein
betroffenes System geschickt werden können. Dies kann z.B. auch per
E-Mail oder über eine Webseite erfolgen
(network)
Angriffsvektorklasse
-
Über eine Netzwerkverbindung
(remote)
Auswirkung
-
Ausführung beliebigen Programmcodes auf dem beherbergenden System
(user compromise)
Hier ist anzumerken, dass zahlreiche Anwendungen, die die Kompressionsbibliotheken nutzen, mit administrativen Privilegien ausgestattet werden können oder müssen. In diesem Fall führt die erfolgreiche Ausnutzung der Schwachstelle direkt zur Systemkompromittierung.
Typ der Verwundbarkeit
-
Speicherverletzung
(memory corruption)
Gefahrenpotential
- hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Eine Pufferüberlaufschwachstelle in der Funktion
BZ2_decompress
in decompress.c
Kompressionsbibliothek libbzip2
kann von einem Angreifer dazu
ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden
System
ausführen.
Der Code wird dabei mit den Privilegien des
des diese Funktion aufrufenden Prozesses ausgeführt.
Sofern dieser Prozess administrative Privilegien besitzt, führt die
erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung
des beherbergenden Systems.
Da die Bibliothek von zahlreichen Anwendungen genutzt werden, die z.T. im Betrieb mit administrativen Privilegien ausgestattet sind, vervielfachen sich die möglichen Angriffspunkte. Insbesondere Sicherheitsanwendungen, wie z.B. die freie Malwarescannersoftware ClamAV, verwenden die betroffenen Routinen, um komprimierte Daten auf Malware zu untersuchen.
Besonderes Augenmerk sollte auch Anwendungen zuteil werden, die die
Bibliothek libbzip2
nicht dynamisch einbinden (also die
Systeminstallation der Bibliothek verwenden) sondern die benötigten
Funktionen im eigenen Code mitbringen. Diese bleiben auch nach einer
Aktualisierung der libbzip2
-Installation des beherbergenden
Betriebssystems verwundbar.
Die Bibliothek ist auch unter Microsoft Windows verfügbar und wird dort meist als Dynamic Link Library eingesetzt.
Workaround
- Als Workaround kann nur die Vermeidung der Benutzung der verwundbaren Funktionen angewendet werden. Z.T. kann dies durch die temporäre Umbenennung der entsprechenden Bibliothek erfolgen, wobei hier mit schwer vorhersehbaren Nebeneffekten zu rechnen ist. Diese Maßnahme kann jedoch nur Angriffe auf Anwendungen verhindern, die die Bibliothek dynamisch einbinden. Anwendungen, die die entsprechenden Funktionen im eigenen Code mitbringen, können weiterhin angegriffen werden.
Gegenmaßnahmen
- Installation von bzip2 1.0.6
- Installation entsprechender Updates der verschiedenen Distributoren
- Installation aktualisierter Versionen von Anwendungen, die entsprechend verwundbaren Code enthalte, z.B. ClamAV 0.96.3
Vulnerability ID
Weitere Information zu diesem Thema
- bzip2 Homepage
- Meldung auf H-Online
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.