Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-655

[SGI/NQE] Schwachstelle im Network Queuing System (NQS)
(2002-01-09 21:48:41+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/01/msg00078.html

SGI verifiziert die am 2001-11-29 gemeldete Schwachstelle im NQS auch für das von ihnen vertriebene NQS-Produkt als über eine Netzwerkverbindung zur Kompromittierung des beherbergenden Systems ausnutzbar (remote root exploitable). Da allerdings das Produkt als veraltet eingestuft wurde, wird SGI keine Patches mehr zur Verfügung stellen.

Betroffene Systeme

Einfallstor
Batch-Verarbeitungsauftrag (auch über eine Netzwerkverbindung, Port 607)

Auswirkung
Kompromittierung des beherbergenden Rechners
(remote root compromise)

Typ der Verwundbarkeit
format string bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch den bereits gemeldeten Fehler in der Implementierung des Network Queuing System-Daemon (NQSD) kann unter Verwendung eines speziellen Dateinamens für den Batchauftrag das System komprommitiert werden.
Neu ist in diesem Zusammenhang aber die Feststellung, daß dies nun auch über eine Netzwerkverbindung ausgenutzt werden kann.
Ob die am 2001-11-29 gemeldete Schwachstelle im NQSD von Cray/UNICOS ebenfalls über eine Netzwerkverbindung ausgenutzt werden kann, ist zur Zeit noch unklar.

Gegenmaßnahmen

Workaround

(bl)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=655