Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-564

[Generic/CDE] Schwachstelle im CDE Subprocess Control Service dtspcd (Patchinformation aktualisiert)
(2001-11-13 21:20:45+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00076.html

In einer dynamischen Bibliotheksfunktion, die der Common Desktop Environment (CDE) Subprocess Control Service dtspcd verwendet, existiert ein buffer overflow bug, der von einem Angreifer über das Netz dazu ausgenutzt werden kann, beliebigen Programmcode mit der UID=root auszuführen.

Betroffene Systeme
UNIX/Linux-Systeme, die CDE betreiben.
Verwundbare Systeme:

Möglicherweise verwundbare Systeme:

Einfallstor
CDE Request an dtspcd
Typischerweise akzeptiert dtspcd Requests auf Port 6112/tcp

Auswirkung
Kompromittierung des beherbergenden Rechners über eine Netzwerkverbindung
(remote root exploit)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
CDE ist eine auf dem X-Windowsystem basierende integrierte graphisches Benutzungsschnittstelle für UNIX und Linux.

Der CDE Subprocess Control Service dtspcd akzeptiert Anfragen von CDE-Clients über Netzwerkverbindungen, um nach einer Authentifizierung Kommandos auszuführen und Applikationen zu starten. Üblicherweise wird dtspcd beim Systemstart nicht direkt gestartet, sondern durch den Internetdaemon inetd bei Empfang von enstprechenden CDE-Anfragen auf Port 6112/tcp mit der UID=root gestartet.

Beschreibung
In einer Funktion der dynamischen CDE SPC Bibliothek /usr/dt/lib/libDtSvc.so.1 existiert ein buffer overflow bug. Bei der Verarbeitung von CDE-Anfragen ruft dtspcd diese Funktion auf. Mittels einer speziell formulierten CDE-Anfrage an Port 6112/tcp des beherbergenden Rechners kann ein Angreifer einen Pufferüberlauf provozieren und subsequent beliebigen Programmcode mit der UID=root ausführen. Eine Kompromittierung des beherbergenden Systems ist dadurch trivial möglich.

Gegenmaßnahmen
Installation von Patches, soweit verfügbar. Folgende Hersteller bieten bereits Patches an:

Workaround

  • Abschaltung von dtspcd

    Üblicherweise wird dtspcd im laufenden Betrieb durch den Internetdaemon inetd mit der UID=root gestartet.
    Folgende Schritte sind zur Abschaltung erforderlich:
    1. loggen Sie sich als Superuser ein:

      $ su
      Password:
      #


    2. editieren Sie die Datei

      /etc/inetd.conf

    3. Suchen Sie folgende Zeile:

      dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd

    4. Kommentieren Sie diese aus, in dem Sie ein Doppelkreuz ('#') am Zeilenanfang einfügen:

      #dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd

    5. Starten Sie inetd neu:

      root@host # kill - HUP <PID des inetd>

    6. Loggen Sie sich wieder aus:

      # exit
      $


  • Filterung von CDE-Anfragen auf Port 6112/tcp mittels eines Paketfilters oder der TCP-Wrappers.

    Achtung! Diese Maßnahme beseitigt nicht die Verwundbarkeit des Systems, sondern schränkt lediglich die Zahl der möglichen Angreifer je nach Konfiguration ein.

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

  • [Generic/CDE] Mehrere Schwachstellen in CDE ToolTalk (2002-07-11)
    Zwei Schwachstellen im ToolTalk-Dienst der Common Desktop Environment (CDE) ermöglichen Angreifern über eine Netzwerkverbindung bzw. über interaktiven Zugang zum System beliebigen Programmcode mit den Privilegien des ToolTalk-Dienstes (i. a. root) auszuführen.
  • [Generic/CDE] Schwachstelle im ToolTalk-RPC-Dienst (2001-10-08)
    Im ToolTalk-RPC-Dienst, der von vielen komerziellen UNIX-Versionen im Rahmen von CDE ausgeliefert wird und per Voreinstellung aktiviert ist, wurde eine weitere Schwachstelle gefunden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.