Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-609

[SGI/IRIX] Schwachstellen in Gauntlet Firewall Proxies unter IRIX - Patches werden nicht zur Verfügung gestellt
(2001-12-04 11:52:21+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00303.html

Das bis November 2001 von SGI ausgelieferte Gauntlet Firewall package von NAI für IRIX enthält zwei buffer overflow bugs, die über eine Netzwerkverbindung dazu ausgenutzt werden können, das beherbergende Rechnersystem zu kompromittieren. Da SGI dieses Produkt nicht weiterpflegt, werden keine Patches zur Verfügung gestellt.

Betroffene Systeme

Einfallstor
SMTP-Verbindung an den beherbergenden Rechner (z. B. E-Mail-Nachricht an einen Empänger im geschützten Netz)

Auswirkung
Kompromittierung des beherbergenden Rechnersystems
(remote root compromise)
Mittelbar sind durch die Kompromittierung des Firewallsystems subsequente Angriffe auf das geschützte Netz möglich.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das RUS-CERT meldete bereits am 2001-09-07 in einem generischen Advisory zwei Schwachstellen im Gauntlet Firewallsystem ([Generic/Gauntlet Firewall, PGP e-ppliance, McAfee WebShield] Buffer Overflow in Gauntlet Firewall ). Bei diesen Schwachstellen handelt es sich um jeweils einen buffer overflow bug in smap/smapd und im Computer Science Major Accessibility Program (CSMAP). Diese Dienste sind als SMTP-Proxies für die Bearbeitung des SMTP-Verkehrs (E-Mail) im Firewallsystem zuständig und ersetzen in dieser Funktion sendmail.

Durch eine speziell formulierte E-Mail-Nachricht an das beherbergende System bzw. einen Empfänger im durch das Firewallsystem geschützten Netz ist es möglich, einen Pufferüberlauf zu provozieren und beliebigen Programmcode mit den Privilegien der UID der SMTP-Proxies (üblicherweise UID=root) auf dem beherbergenden Rechnersystem auszuführen.

Silicon Graphics Inc. (SGI) lieferte bis zum November 2001 mit dem Betriebssystem IRIX das Gauntlet Firewall package aus, das von diesen Schwachstellen betroffen ist. Da SGI dieses Paket nicht weiter ausliefert bzw. pflegt, da der Hersteller Network Associates die Weiterentwicklung eingestellt hat, werden von SGI keine Patches zur Behebung der Schwachstelle bereitgestellt.

Gegenmaßnahmen

Workaround
Deaktivierung der cyberpatrol und smap/smapd Daemons mittels folgender Schritte:

  1. loggen Sie sich als root ein:
    % /bin/su -
    Password:
    #
    
  2. konfigurieren Sie IRIX so, daß smap nicht gestartet wird:
    # /sbin/chkconfig smap off
    
  3. starten Sie den Gauntlet Firewall Manager:
    • öffnen Sie folgenden URL in einem Webbrowser http://firewall:21000/auth/gui.html
    • Autentifizieren Sie sich als Administrator
    • Klicken Sie auf das Gauntlet-Logo um die Konfigurationsdaten zu laden.
  4. wählen Sie Services
  5. wählen Sie HTTP, das Fenster zur HTTP-Konfiguration sollte erscheinen
  6. klicken Sie auf Add, das Add HTTP Services-Fenster sollte erscheinen
  7. überprüfen Sie, ob Use Cyber Patrol Filtering angewählt ist und deaktivieren sie diesen Dienst ggf.
  8. klicken Sie Ok, dies sollte Sie ins Hauptmenü des Gauntlet Firewall Managers zurückbringen
  9. klicken Sie Exit.
  10. Da Sie Änderungen vorgenommen haben, erhalten Sie nun mehrere Optionen, wie diese in Kraft gesetzt werden sollen.
    Klicken Sie Save, Apply, and Reboot.
    Das System wird herunterfahren und neu starten. Danach sind Ihre Änderunge in Kraft getreten.
Hinweis: Das Abschalten von smap/smapd führt dazu, daß nun sendmail gestartet wird, dessen Konfiguration allerdings nicht der Konfiguration der vorher betriebenen SMTP-Proxies enspricht. Aus diesem Grunde ist es ratsam, entweder die Konfiguration entprechend anzupassen oder sendmail abzuschalten. In letzterem Fall ist zu beachten, daß das Firewallsystem SMTP (E-Mail) nicht mehr zur Verfügung stellt.

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=609