Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1173

[Generic/H.323] Schwachstellen in mehreren H.323-Implementierungen
(2004-01-14 17:36:24.470179+00) Druckversion

Quelle: http://www.uniras.gov.uk/vuls/2004/006489/h323.htm

Mehrere Schwachstellen in verschiedenen Implementierungen des Multimedia-Protokolls H.323 können dazu ausgenutzt werden, beliebigen Programmcode auf verwundbaren Systemen auszuführen oder solche in einen unbenutzbaren Zustand zu versetzen (Denial of Service).

Betroffene Systeme

  • Cisco:
    • Cisco CallManager Versionen 3.0 bis 3.3
    • Cisco Conference Connection (CCC)
    • Cisco Internet Service Node (ISN)
    • Cisco BTS 10200 Softswitch
    • Cisco 7905 IP Phone H.323 Software Version 1.00
    • Cisco ATA der Serie 18x mit H.323/SIP der Versionen vor 2.16.1
    Details sind zu entnehmen aus dem Cisco Security Advisory 47843
  • Microsoft:
    • Micosoft Internet Security and Acceleration Server 2000
    • Microsoft Small Business Server 2000
    • Microsoft Small Business Server 2003
    Details sind zu entnehmen aus demMicrosoft Security Bulletin MS04-001
  • Tandberg Video Conferencing Systeme

Möglicherweise betroffene Systeme

  • Hewlett-Packard untersucht derzeit das Problem und wird ggf. ein Security Bulletin zu betroffenen Systemen herausgeben
  • Lucent untersucht derzeit das Problem und wird ggf. ein Announcement zu betroffenen Systemen herausgeben
  • Avaya untersucht derzeit das Problem und wird ggf. ein Announcement zu betroffenen Systemen herausgeben

Einfallstor
Senden entsprechend formulierter H.323-Pakete an ein verwundbares System

Auswirkung

  1. Nichtverfügbarkeit des beherbergenden Rechnersystems oder Dienstes
    (Denial of Service)
  2. Ausführung beliebigen Programmcodes mit den Privilegien des die H.323-Pakete verarbeitenden Prozesses
    (je nach Implementierung remote user compromise bzw. remote root compromise)

Typ der Verwundbarkeit

  • u.a. buffer overflow bug

Gefahrenpotential

  1. mittel
  2. hoch bis sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
H.323 ist ein Protokoll für Echtzeitkommunikationsanwendungen. Es wird benutzt, um Anwendungen zu realisieren, bei denen Echtzeitkommunikation zwischen Teilnehmern über ein Netzwerk erforderlich ist, wie beispielsweise IP-Telefonie-, Videokonferenz-Anwendungen.

Beschreibung
In den H.323-Implementierungen verschiedener Hersteller sind z.T. mehrere Schwachstellen enthalten, die mittels des Sendens speziell formulierter H.323-Pakete an ein solchermaßen verwundbares System dazu ausgenutzt werden können:

  1. das beherbergende Rechnersystem oder den Dienst in einen unbenutzbaren Zustand zu überführen
  2. beliebigen Programmcode mit den Privilegien des die H.323-Pakete verarbeitenden Prozesses auszuführen.
Je nach Implementierung und Konfiguration kann die zweite Möglichkeit mittelbar oder unmittelbar zur Kompromittierung des beherbergenden Rechnersystems führen.

Von diesen Schwachstellen können sowohl Anwendungen auf Endsystemen als auch Betriebssysteme aktiver Netzwerkkomponenten wie Router betroffen sein, die für das Routing von H.323-Verkehren eingesetzt werden. Dies gilt offenbar auch für filterfähige Router, die H.323-Verkehre verwerfen sollen. Details sind den Mitteilungen der einzelnen Hersteller zu entnehmen.

Gegenmaßnahmen
Installation der in den entsprechenden Hersteller-Announcements beschriebenen Patches, bzw. neuen Versionen betroffener Software.

Vulnerability ID

Credits
Die Schwachstellen wurden von der Oulu Security Programming Group (OUSPG) entdeckt.

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.