Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-834

[Generic/slurp] Schwachstelle im Logging-Code
(2002-06-05 13:29:43.038234+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/06/msg00028.html

slurp enthält eine Format-String-Schwachstelle beim Aufzeichnen von Fehlermeldungen des genutzten Newsservers. Dadurch kann ein Angreifer beliebigen Code auf dem System ausführen, auf dem slurp läuft.

Betroffene Systeme

Einfallstor
Geeignet formulierte Status-Antworten vom NNTP-Server. Dies erfordert nicht unbedingt die Kontrolle über den genutzten Newsserver.

Auswirkung
Ein Angreifer kann beliebigen Code mit den Rechten des Benutzers ausführen, der slurp aufrief (typischerweise ein privilegierter Systemaccount, nicht jedoch root).

Typ der Verwundbarkeit
format string bug

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im Programm slurp, mit dem sich Artikel von einem externen Newsserver zum eigenen Newsserver übertragen lassen (ohne daß eine Feed-Beziehung bestehen muß) ist eine Format-String-Schwachstelle entdeckt worden. Diese tritt auf, wenn slurp die Status-Antworten des externen Newsservers verarbeitet.

Unter bestimmten Voraussetzungen kann diese Schwachstelle auch über das Versenden von NNTP-Nachrichten ausgenutzt werden, da Message-IDs gelegentlich in den Status-Antworten des Servers auftreten.

Gegenmaßnahmen
slurp wird nicht mehr gewartet. Deswegen bleibt nur der Wechsel zu einem anderen Programm oder das Einspielen eines entsprchenden Patches. (slurp verwendet den NEWNEWS-Befehl von NNTP, welcher inzwischen nicht mehr von vielen Servern unterstützt wird.)

Administratoren an der Universität Stuttgart können einen Newsfeed für gängige Usenet-Gruppen vom Newsserver des Rechenzentrums erhalten. Dadurch wird der Einsatz derartiger Programme, die zudem unnötig Serverlast erzeugen, in vielen Fällen unnötig.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=834