Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1377

[Generic/Sun Java Web Proxy Server] Pufferüberlaufschwachstellen im Sun Java System Proxy Server
(2007-05-31 10:03:15.992915+00)

Quelle: http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=536

Mehrere Pufferüberlaufschwachstellen im SOCKS-Proxy des SUN JAVA System Web Proxy können von Angreifern dazu ausgenutzt werden, über eine Netzwerkverbindung unauthentifiziert beliebigen Programmcode mit root-Rechten auf dem beherbergenden Rechnersystem auszuführen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
SOCKS-Session zu einem verwundbaren SUN JAVA Web Proxy Server

Angriffsvoraussetzungen
Netzwerkverbindung zu einem verwundbaren System
(remote)

Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit root-Privilegien
(system compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der Sun Java System Web Proxy Server 4.0 ist ein kostenloses Proxy-System der Sun Microsystems Inc. und Teil des Sun Solaris Enterprise System. Neben Web-Proxy-Funktionalität, URL-Filterung und LDAP-Unterstützung beinhaltet er auch einen SOCKS-Proxy. Der Sun Java System Web Proxy Server ist für Solaris-, Linux- und Windows-Plattformen verfügbar.

SOCKS-Proxies werden meist eingesetzt, um hinter einer Firewall stehenden Rechnersystemen den kontrollierten Netzverkehr mittels beliebiger Protokolle zu und von externen Rechnersystemen zu ermöglichen. Dadurch, dass alle Verbindungen über das Proxy-System aufgebaut und unterhalten werden müssen, kann erwünschter Verkehr kontrolliert ermöglicht werden, ohne die Schutzwirkung der Firewall durch Ausnahmeregeln schwächen zu müssen. Einem solchen Proxy-System und dessen Sicherheit kommt so in einer entsprechend konfigurierten IT-Infrastruktur zentrale Bedeutung zu.

Beschreibung
Mehrere Pufferüberlaufschwachstellen im SOCKS-Proxy-Daemon sockd des Sun Java System Web Proxy Server 4.0.4 können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des sockd auf dem beherbergenden Rechnersystem auszuführen. Da dies im Allgemeinen root-Privilegien sind, führt eine erfolgreiche Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems.

Die Schwachstelle betrifft den Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen unter Solaris-Betriebssystemen für SPARC- und x86-Architekturen, Linux, Windows-Betriebssystemen sowie den Unix-Derivaten HP-UX und AIX.

Um die Schwachstelle erfolgreich auszunutzen, muss der Angreifer lediglich in der Lage sein, eine SOCKS-Session zu einem verwundbaren System über eine Netzwerkverbindung aufzubauen. Weitere Angriffsvoraussetzungen, insbesondere Authentifizierungsdaten, sind nicht erforderlich.

Nachdem in der voreingestellten Konfiguration sockd durch einen Watchdog-Prozess überwacht wird, der den Daemon wieder startet, wenn er abgestürzt ist, kann sich ein Angreifer u.U. auch Fehlschläge beim Ausnutzen der Schwachstelle leisten ohne sein Ziel dauerhaft außer Funktion zu setzen.

Workaround

Diese Maßnahmen beseitigen die Schwachstelle nicht, können jedoch dazu beitragen, die Anzahl der Systeme bzw. IP-Adressen einzuschränken, die einen erfolgversprechenden Angriff durchführen können.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1377