Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-785

[Generic/Webalizer] Pufferüberlauffehler bei DNS-Abfragen
(2002-04-25 17:27:51+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/04/msg00164.html

Die Webalizer-Programmierer gehen davon aus, daß Hostnamen nur 128 Zeichen lang sein können, was zu einem Pufferüberlaufproblem führt.

Betroffene Systeme

  • Systeme, die Webalizer mit eingeschalteter DNSChildren-Konfigurationsoption oder -N-Kommandozeilenoption aufrufen.

Einfallstor
HTTP-Anfrage und speziell gestaltetes reverse mapping für die IP-Adresse im DNS.

Auswirkung
Ausführung von beliebigem Programmcode mit den Rechten des Webalizer-Prozesses.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
mittel bis sehr hoch (abhängig von der User-ID, unter der Webalizer läuft).
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das Loganalyse-Werkzeug Webalizer kann auf Wunsch zu IP-Adressen in Webserver-Logs per DNS reverse lookup Hostnamen ermitteln. Der dafür zuständige Programmcode nimmt an, daß Hostnamen maximal 128 Zeichen lang wären und verwendet lediglich einen Puffer dieser Größe. Der Puffer läuft bei längeren Hostnamen über. Es ist davon auszugehen, daß die Schwachstelle über das Netz ausnutzbar ist. Falls Webalizer unter einer privilegierten User-ID ausgeführt wird, kann dies zur Kompromittierung des Systems führen.

Gegenmaßnahmen

Ein Patch, der zuvor über diverse Security-Listen zirkulierte, ist fehlerhaft.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.