Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-609

[SGI/IRIX] Schwachstellen in Gauntlet Firewall Proxies unter IRIX - Patches werden nicht zur Verfügung gestellt
(2001-12-04 11:52:21+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00303.html

Das bis November 2001 von SGI ausgelieferte Gauntlet Firewall package von NAI für IRIX enthält zwei buffer overflow bugs, die über eine Netzwerkverbindung dazu ausgenutzt werden können, das beherbergende Rechnersystem zu kompromittieren. Da SGI dieses Produkt nicht weiterpflegt, werden keine Patches zur Verfügung gestellt.

Betroffene Systeme

  • Gauntlet 4.1 für IRIX 6.2
  • Gauntlet 4.1 für IRIX 6.3
  • Gauntlet 4.1 für IRIX 6.4
  • Gauntlet 4.1 für IRIX 6.5

Einfallstor
SMTP-Verbindung an den beherbergenden Rechner (z. B. E-Mail-Nachricht an einen Empänger im geschützten Netz)

Auswirkung
Kompromittierung des beherbergenden Rechnersystems
(remote root compromise)
Mittelbar sind durch die Kompromittierung des Firewallsystems subsequente Angriffe auf das geschützte Netz möglich.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das RUS-CERT meldete bereits am 2001-09-07 in einem generischen Advisory zwei Schwachstellen im Gauntlet Firewallsystem ([Generic/Gauntlet Firewall, PGP e-ppliance, McAfee WebShield] Buffer Overflow in Gauntlet Firewall ). Bei diesen Schwachstellen handelt es sich um jeweils einen buffer overflow bug in smap/smapd und im Computer Science Major Accessibility Program (CSMAP). Diese Dienste sind als SMTP-Proxies für die Bearbeitung des SMTP-Verkehrs (E-Mail) im Firewallsystem zuständig und ersetzen in dieser Funktion sendmail.

Durch eine speziell formulierte E-Mail-Nachricht an das beherbergende System bzw. einen Empfänger im durch das Firewallsystem geschützten Netz ist es möglich, einen Pufferüberlauf zu provozieren und beliebigen Programmcode mit den Privilegien der UID der SMTP-Proxies (üblicherweise UID=root) auf dem beherbergenden Rechnersystem auszuführen.

Silicon Graphics Inc. (SGI) lieferte bis zum November 2001 mit dem Betriebssystem IRIX das Gauntlet Firewall package aus, das von diesen Schwachstellen betroffen ist. Da SGI dieses Paket nicht weiter ausliefert bzw. pflegt, da der Hersteller Network Associates die Weiterentwicklung eingestellt hat, werden von SGI keine Patches zur Behebung der Schwachstelle bereitgestellt.

Gegenmaßnahmen

  • SGI stellt keine Patches zur Behebung der Schwachstelle bereit.

Workaround
Deaktivierung der cyberpatrol und smap/smapd Daemons mittels folgender Schritte:

  1. loggen Sie sich als root ein:
    % /bin/su -
    Password:
    #
    
  2. konfigurieren Sie IRIX so, daß smap nicht gestartet wird:
    # /sbin/chkconfig smap off
    
  3. starten Sie den Gauntlet Firewall Manager:
    • öffnen Sie folgenden URL in einem Webbrowser http://firewall:21000/auth/gui.html
    • Autentifizieren Sie sich als Administrator
    • Klicken Sie auf das Gauntlet-Logo um die Konfigurationsdaten zu laden.
  4. wählen Sie Services
  5. wählen Sie HTTP, das Fenster zur HTTP-Konfiguration sollte erscheinen
  6. klicken Sie auf Add, das Add HTTP Services-Fenster sollte erscheinen
  7. überprüfen Sie, ob Use Cyber Patrol Filtering angewählt ist und deaktivieren sie diesen Dienst ggf.
  8. klicken Sie Ok, dies sollte Sie ins Hauptmenü des Gauntlet Firewall Managers zurückbringen
  9. klicken Sie Exit.
  10. Da Sie Änderungen vorgenommen haben, erhalten Sie nun mehrere Optionen, wie diese in Kraft gesetzt werden sollen.
    Klicken Sie Save, Apply, and Reboot.
    Das System wird herunterfahren und neu starten. Danach sind Ihre Änderunge in Kraft getreten.
Hinweis: Das Abschalten von smap/smapd führt dazu, daß nun sendmail gestartet wird, dessen Konfiguration allerdings nicht der Konfiguration der vorher betriebenen SMTP-Proxies enspricht. Aus diesem Grunde ist es ratsam, entweder die Konfiguration entprechend anzupassen oder sendmail abzuschalten. In letzterem Fall ist zu beachten, daß das Firewallsystem SMTP (E-Mail) nicht mehr zur Verfügung stellt.

Vulnerability ID

  • CVE-2000-0437
  • VU#206723 Network Associates CSMAP and smap/smapd vulnerable to buffer overflow thereby allowing arbitrary command execution

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.