Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-961

[Generic/OpenSSL] Wurm nutzt Schwachstellen in OpenSSL aus
(2002-09-14 14:41:59.190426+00)

Quelle: http://lists.cert.uni-stuttgart.de/pipermail/incidents/2002-September/000005.html

Es kursiert ein Wurm, der eine Schwachstelle in mod_ssl/OpenSSL zur Verbreitung ausnutzt.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Der kursierende Wurm greift Systeme an, die sowohl HTTP (TCP-Port 80) als auch HTTPS (TCP-Port 443) anbieten.

Auswirkung

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein kursierender Wurm nutzt die bereits in der RUS-CERT-Meldung #904 beschriebene Schwachstelle in OpenSSL zur Verbreitung aus. Betroffen sind insbesondere Webserver, die HTTP (TCP-Port 80) und HTTPS (TCP-Port 443) anbieten und eine verwundbare SSL-Implementierung (mod_ssl mit OpenSSL) verwenden.

Laut F-Secure stagniert das vom Wurm geschaffene Bot-Netzwerk bei etwa 14.000 Hosts. Limitierende Faktoren dürften teilweise die inzwischen eingeleiteten Gegenmaßnahmen sein, aber auch die hohen Anforderungen auf den Opfer-Systemen (GCC, uudecode und OpenSSL-Entwicklungsumgebung) und vor allem der Netzverkehr, der durch das Bot-Netzwerk entsteht und die Verbreitungsaktivität beeinträchtigt.

Angriffssignaturen/Spuren
In den mod_ssl-Logfiles (logs/ssl_engine_log) hinterläßt der Wurm bei einem gepachten Server folgende Spuren:

[13/Sep/2002 21:22:03 17376] [error] SSL handshake failed (server
CERT.Uni-Stuttgart.DE:443, client 129.69.16.9) (OpenSSL library error
follows)
[13/Sep/2002 21:22:03 17376] [error] OpenSSL: error:1406B458:SSL 
routines:GET_CLIENT_MASTER_KEY:key arg too long
Bei verwundbaren Systemen hinterläßt der Wurm angeblich keine Logfileeintragungen.

Workaround

Gegenmaßnahmen
Update auf OpenSSL (0.9.6g) oder ein äquivalentes Vendor-Update

Hinweis: Die Version 0.9.6e und äquivalente Vendor-Patches weisen die Schwachstelle ebenfalls nicht auf, sind jedoch durch ihr Verhalten über das Netz von einer verwundbaren Version nicht zu unterscheiden. Da eine unabhängige Prüfung über den Erfolg des Updates bei den 0.9.6e-Patches nicht möglich ist, sollten diese nur im Notfall eingesetzt werden (z.B. wenn 0.9.6g nicht verfügbar ist).

Für Debian GNU/Linux (woody bzw. stable) wird OpenSSL 0.9.6g derzeit in "woody-proposed-updates" angeboten.

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=961