Meldung Nr: RUS-CERT-301

[Sun/Solaris] Buffer overflow bug in snmpXdmid
(2001-03-30 16:54:32+02) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/03/msg00208.html

Im Sun Solstice Enterprise SNMP to DMI mapper subagent /usr/lib/dmi/snmpXdmid existiert ein buffer overflow bug, der dazu führen kann, daß ein Angreifer ohne interaktiven Zugang unerlaubt root-Rechte erlangen kann (remote root exploit).

Betroffene Systeme

• Sun/Solaris 8 (getestet)
• Sun/Solaris 7 (ungetestet aber mit hoher Wahrscheinlichkeit betroffen)
• Sun/Solaris 2.6 (ungetestet aber mit hoher Wahrscheinlichkeit betroffen)

Typ der Verwundbarkeit
buffer overflow bug (kein lokaler Zugang benötigt)

Beschreibung
Das Desktop Management Interface (DMI) ist ein von der Desktop Management Task Force (DMTF) entworfenes Protokoll zur Administration von Geräten über ein Netzwerk, ähnlich dem Simple Network Management Protocol (SNMP). Es bietet ähnlichen Funktionsumfang wie SNMP ist aber nicht interoperabel mit diesem.

Zur Unterstützung von DMI auf Sun/Solaris-Plattformen ist ab Sun/Solaris 2.6 der DMI daemon dmid enthalten. Zusätzlich ist der sogenannte SNMP to DMI mapper daemon /usr/lib/dmi/snmpXdmid vorhanden, der SNMP events in DMI indications und umgekehrt übersetzt.

/usr/lib/dmi/snmpXdmid registriert sich sowohl als snmpdx und benutzt den UDP Port 6500, als auch als dmid und erhält dynamisch als RPC-Dienst 100249 einen Port beim Start des Dienstes zugewiesen. Die Portnummer kann durch folgendes Kommando ermittelt werden:

      user@SUN $ rpcinfo -p | grep 100249

Bei der Verarbeitung von DMI indications, kann ein buffer overflow auftreten, der zur Kompromittierung des Systems durch die Ausführung beliebigen Codes unter der UID=root führen kann. Es ist dabei ausreichend, entsprechend formatierte Pakete an den RPC-Dienst dmid zu senden, um die Schwachstelle auszunutzen. Ein interaktiver Zugang zum System wird nicht benötigt.

Gefahrenpotential
sehr hoch (remote root exploit möglich)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen
Patches sind in Vorbereitung.

Workaround

• Abschaltung von DMI, sofern möglich:

  user@SUN $ su
  Password:
  root@SUN # /etc/init.d/init.dmi stop
      

  Entfernung aller Rechte fuer /usr/lib/dmi/snmpXdmid

  root@SUN # chmod 000 /usr/lib/dmi/snmpXdmid
  root@SUN # ls -lF /usr/lib/dmi/snmpXdmid
  root@SUN # ----------   1 root  sys  252384 Jul 20  2000 /usr/lib/dmi/snmpXdmid
      

  Nach Anlegen einer Sicherungskopie des Init-Skriptes, das die DMI-Dienste startet, Ersetzung desselben durch ein Skript, das den verwundbaren Dienst nicht startet:

  root@SUN # cp /etc/init.d/init.dmi /etc/init.d/no.init.dmi.any.more
  root@SUN # echo '#\!/sbin/sh' > /etc/init.d/init.dmi
  root@SUN # echo 'echo no DMI-Services started.'>> /etc/init.d/init.dmi 
  root@SUN # echo 'echo Backup saved in /etc/init.d/no.init.dmi.any.more'\
            >> /etc/init.d/init.dmi       
  root@SUN # chmod 755 /etc/init.d/init.dmi
  root@SUN # exit
  user@SUN $ 
  

• Falls eine Abschaltung aus betrieblichen Gründen nicht erfolgen kann, empfiehlt CERT/CC die Filterung der Ports, auf denen der verwundbare Dienst läuft. Diese Maßnahme bietet allerdings nur bedingten Schutz, da lediglich die Menge der potentiellen Angreifer verringert, die Verwundbarkeit aber nicht beseitigt wird. Die TCP-Portnummer des RPC-Dienstes ist mit folgendem Kommando zu ermitteln (siehe auch oben):

  user@SUN $ rpcinfo -p | grep 100249
  

  Die UDP-Portnummer 6500 ist fest.

Weitere Information zu diesem Thema

• Solaris /usr/lib/dmi/snmpXdmid vulnerability (Originalmeldung)
• Desktop Management Task Force
• CERT/CC: Vulnerability Note VU#648304: Sun Solaris DMI to SNMP mapper daemon snmpXdmid contains buffer overflow
• snmpXdmid(1M) manual page
• SNMP - Simple Network Managment Protocol (Umfassendes Dokument zu SNMP).

(og)

---

Weitere Artikel zu diesem Thema:

• [Sun/Solaris] Schwachstelle in snmpXdmid - Patches verfügbar (2001-09-01)
  Im Sun Solstice Enterprise SNMP to DMI mapper subagent /usr/lib/dmi/snmpXdmid existiert ein buffer overflow bug, der dazu führen kann, daß ein Angreifer ohne interaktiven Zugang unerlaubt root-Rechte erlangen kann. Sun stellt nun Patches zur Behebung dieser Schwachstelle bereit

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung

Weitere Meldungen...

Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.