[Generic/Sun Java Web Proxy Server] Pufferüberlaufschwachstellen im Sun Java System Proxy Server
(2007-05-31 12:03:15.992915+02) Druckversion
Quelle: http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=536
Mehrere Pufferüberlaufschwachstellen im SOCKS-Proxy des SUN JAVA System
Web Proxy können von Angreifern dazu ausgenutzt werden, über eine
Netzwerkverbindung unauthentifiziert beliebigen Programmcode mit
root-Rechten auf dem beherbergenden Rechnersystem
auszuführen.
Betroffene Systeme
- Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für SPARC Solaris
- Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für x86 Solaris
- Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für Linux
- Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für Windows
- Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für HP-UX
- Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für AIX
Nicht betroffene Systeme
- Sun Java System Web Proxy Server 4.0.5
- Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.
Einfallstor
SOCKS-Session zu einem verwundbaren SUN JAVA Web Proxy Server
Angriffsvoraussetzungen
Netzwerkverbindung zu einem verwundbaren System
(remote)
Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
mit root-Privilegien
(system compromise)
Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)
Gefahrenpotential
sehr hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Kontext
Der Sun
Java System Web Proxy Server 4.0 ist ein kostenloses Proxy-System
der Sun Microsystems Inc. und Teil des
Sun Solaris Enterprise System. Neben Web-Proxy-Funktionalität,
URL-Filterung und LDAP-Unterstützung beinhaltet er auch einen SOCKS-Proxy.
Der Sun Java System Web Proxy Server ist für Solaris-, Linux- und
Windows-Plattformen verfügbar.
SOCKS-Proxies werden meist eingesetzt, um hinter einer Firewall stehenden Rechnersystemen den kontrollierten Netzverkehr mittels beliebiger Protokolle zu und von externen Rechnersystemen zu ermöglichen. Dadurch, dass alle Verbindungen über das Proxy-System aufgebaut und unterhalten werden müssen, kann erwünschter Verkehr kontrolliert ermöglicht werden, ohne die Schutzwirkung der Firewall durch Ausnahmeregeln schwächen zu müssen. Einem solchen Proxy-System und dessen Sicherheit kommt so in einer entsprechend konfigurierten IT-Infrastruktur zentrale Bedeutung zu.
Beschreibung
Mehrere Pufferüberlaufschwachstellen im SOCKS-Proxy-Daemon
sockd des Sun Java System Web Proxy Server 4.0.4 können von
einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den
Privilegien des sockd auf dem beherbergenden Rechnersystem
auszuführen. Da dies im Allgemeinen root-Privilegien sind,
führt eine erfolgreiche Ausnutzung der Schwachstelle zur Kompromittierung
des beherbergenden Rechnersystems.
Die Schwachstelle betrifft den Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen unter Solaris-Betriebssystemen für SPARC- und x86-Architekturen, Linux, Windows-Betriebssystemen sowie den Unix-Derivaten HP-UX und AIX.
Um die Schwachstelle erfolgreich auszunutzen, muss der Angreifer lediglich in der Lage sein, eine SOCKS-Session zu einem verwundbaren System über eine Netzwerkverbindung aufzubauen. Weitere Angriffsvoraussetzungen, insbesondere Authentifizierungsdaten, sind nicht erforderlich.
Nachdem in der voreingestellten Konfiguration sockd durch
einen Watchdog-Prozess
überwacht wird, der den Daemon wieder startet, wenn er abgestürzt ist,
kann sich ein Angreifer u.U. auch Fehlschläge beim Ausnutzen der
Schwachstelle leisten ohne sein Ziel dauerhaft außer Funktion zu setzen.
Workaround
- Abschaltung des
sockd - Schutz des Proxysystems vor Zugriffen von nicht vertrauenswürdigen
Systemen, beispielsweise durch Einsatz einer Firewall.
Hierbei ist zu beachten, dass in mehrschrittigen Angriffsszenarien auch als vertauenswürdig eingestufte Systeme (beispielsweise infizierte Arbeitsplatzsysteme ohne besondere Privilegien im Netz) missbraucht werden können, um ein zentrales Proxysystem anzugreifen und so Kontrolle über die von diesem System vermittelten Netzwerkverbindungen zu erlangen.
Gegenmaßnahmen
- Installation des Sun Java System Web Proxy Server 4.0.5
Vulnerability ID
Weitere Information zu diesem Thema
Revisionen dieser Meldung
- V 1.0 (2007-05-31)
- V 1.1 (2007-06-04):
- CVE-Name hinzugefügt
- Gegenmaßnahmen hinzugefügt
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/
| Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.