You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1647

[Unixoid/glibc] Schwachstelle in glibc
(2010-10-19 17:56:03.692845+00) Druckversion

Quelle: http://seclists.org/fulldisclosure/2010/Oct/257

Eine Schwachstelle im dynamischen Linker der freien Programmbibliothek glibc kann von lokalen Angreifern ausgenutzt werden, um Administratorrechte zu erlangen. Um die Lücke ausnutzen zu können, muss der Angreifer in der Lage sein, einen Hardlink auf ein Setuid Programm zu erstellen (zum Beispiel "ping"); er benötigt dazu Schreibrechte auf derselben Partition.

Inhalt

Zusammenfassung

  • CVE-2010-3847:
    Betroffen: (e)glibc 2.11.2 und frühere Versionen
    Nicht betroffen: Distributionsspezifisch aktualisierte Versionen
    Plattform: GNU/Linux
    diverse Unixoide
    Einfallstor: Hardlink auf Setuid Programme
    Angriffsvoraussetzung:Berechtigungsnachweis
    Angriffsvektorklasse: local
    Auswirkung: system compromise
    Typ: Implementierungsfehler
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2010-3847

Betroffene Systeme

  • glibc 2.11.2 und frühere Versionen
  • eglibc 2.12 und frühere Versionen

Nicht betroffene Systeme

Plattform

Einfallstor

Angriffsvoraussetzung

  • Berechtigungsnachweis; Ein lokaler Benutzer mit Schreibzugriff auf einen Mountpoint, der nicht mit der Option "nosuid" montiert wurde und der ein Setuid Programm enthält, das dem Zielbenutzer (typischerweise also "root") gehört.
    (user credentials

Angriffsvektorklasse

  • lokal auf einem betroffenen System
    (local)

Auswirkung

  • Ausführung beliebigen Programmcodes mit administrativen Privilegien
    (system compromise)

Typ der Verwundbarkeit

  • Implementierungsfehler
    (implementation flaw)

Gefahrenpotential

  • hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle im dynamischen Linker der Programmbibliothek glibc kann von lokalen Angreifern ausgenutzt werden, um Administratorrechte zu erlangen.
Um die Lücke ausnutzen zu können, muss der Angreifer in der Lage sein, einen Hardlink auf ein Setuid Programm zu erstellen (zum Beispiel "ping"); er benötigt dazu Schreibrechte auf derselben Partition.
Er kann dann beliebigen Code mit den Privilegien des Benutzers ausführen, dem das Setuid Programm gehört.
Typischerweise gehöhren Setuid Programme dem administrativen Benutzer root; dann führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Workaround

  • Entfernung der Schreibrechte für nichtadministrative Benutzer auf Einhängepunkte ohne "nosuid"
    Dies kann z.B. mit bind mounts verhindert werden. Dazu sind als Benutzer root die folgenden Befehle über eine shell einzugeben:
    # mount -o bind,nosuid /tmp /tmp
    # mount -o bind,nosuid /var/tmp /var/tmp
    

Gegenmaßnahmen

  • Installation einer neuen Version, sobald verfügbar
  • Installation entsprechend aktualisierter Pakete der verschiedenen Linux-Distributoren, sobald diese verfügbar sind
  • Installation von Patches der verschiedenen Linux-Distributoren, soweit diese verfügbar sind: (Liste unvollständig)
  • Installation entsprechend aktualisierter Pakete oder Patches für diverse Unixoide Betriebsysteme, soweit verfügbar:

Vulnerability ID

Weitere Information zu diesem Thema

(sb)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.