Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1255

[Generic/zlib] Pufferüberlaufschwachstelle in zlib [UPDATE]
(2005-07-08 11:24:11.755877+00)

Quelle: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2096

Eine Pufferüberlaufschwachstelle in der freien Kompressionsbibliothek zlib kann zur Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem ausgenutzt werden. Da die Bibliothek von sehr vielen Programmen benutzt wird, ist die Installation korrigierter Pakete dringend anzuraten. zlib 1.2.3, die diese Schwachstelle und weitere Fehler behebt, ist mittlerweile verfügbar.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Komprimierte Datei, z.B. in einer E-Mail-Nachricht

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des aufrufenden Benutzers (user compromise).

Angriffsvoraussetzung
Ein Angreifer muß einen Benutzer dazu bringen, eine entprechende Datei zu dekomprimieren. Dazu ist es i.a. ausreichend, eine entsprechende Datei per E-Mail an einen Benutzer eines verwundbaren Systems zu senden (remote).

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
zlib ist eine Bibliothek, die auf vielen verschiedenen Systemplattformen zur Kompression und Dekompression beliebiger Daten dient und von sehr vielen Programmen für diese Zwecke eingesetzt wird. So verwenden z.B. die meisten Mailbenutzeragenten die Bibliothek zur Dekomprimierung von Mailanhängen.
Darüberhinaus bringen verschiedene Programmpakete den zlib-Code mit, wenn die Bibliothek nicht auf dem System installiert ist, auf dem die Software installiert werden soll. Dies ist beispielsweise beim freien Verschlüsselungssystem GnuPG der Fall. Speziell GnuPG verwendet nur dann den mitgebrachten zlib-Code, wenn auf dem beherbergenden System die Bibliothek nicht installiert ist, z.B. auf einem Microsoft-Windows-System.

Beschreibung
Eine Pufferüberlaufschwachstelle in der freien Kompressionsbibliothek zlib kann dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des aufrufenden Benutzers auszuführen. Dabei ist es ausreichend, den Benutzer dazu zu veranlassen, eine entsprechend präparierte komprimierte Datei zu dekomprimieren. Dies kann z.B. ein E-Mail-Attachment oder eine mit GnuPG verschlüsselte Datei sein, die der Benutzer dekomprimiert oder entschlüsselt.

Da der zlib-Code z.T. auch in Softwarepaketen enthalten ist, muß damit gerechnet werden, daß die Schwachstelle auch auf Systemen vorhanden ist, auf denen solche Softwarepakete jedoch keine zlib installiert sind.

Feststellen der Verwundbarkeit


Mittels speziell definierter ClamAV-Signatruren kann man feststellen, ob installierte Software von dieser Schwachstelle betroffen ist. Florian Weimer hat hierzu eine Anleitung verfaßt, auf dieser Seite sind auch die entsprechenden Signaturen zu beziehen:

Gegenmaßnahmen

Diverse GNU/Linux-Distributoren bieten gepatchte zlib-Pakete an:

Weitere Betriebssystemdistributoren:

Vulnerability ID

Exploit Status

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1255