Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-963

[Generic/OpenSSL] Werkzeug zum Testen verwundbarer Systeme
(2002-09-17 15:39:31.403277+00)

Quelle: http://cert.uni-stuttgart.de/advisories/openssl-sslv2-master.php

Das RUS-CERT hat ein Werkzeug entwickelt, mit dem sich Systeme ermitteln lassen, die verwundbare OpenSSL-Bibliotheken einsetzen.

Betroffene Systeme

Einfallstor
SSLv2-Anfragen über ein beliebiges Transportprotokoll (z.B. TCP). In der Regel sind folgende TCP-Ports involviert:

Protokoll TCP-Port
HTTPS 443
SMTPS 465
NNTPS 563
IMAP4SSL 585
LDAPS 636
FTPS 990
TELNETS 992
IMAPS 993
POP3S 995
GIOP-SSL (Oracle) 2482
TTC-SSL (Oracle) 2484
Hinzu kommen die Protokolle, die evtl. STARTTLS unterstützen:
Protokoll TCP-Port
SMTP 25
POP3 110
NNTP 119
IMAP 143

Auswirkung
Es zirkuliert mittlerweile Exploit-Code für eine Schwachstelle in OpenSSL. Bei erfolgreichen Angriffen ist mit Kompromittierung des Systems (bzw. eines Systemaccounts) zu rechnen. (Die Bedrohung ist nicht allein beim sich Nach und Nach ausbreitenden Wurm zu sehen.)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch bis sehr hoch (je nach Dienst)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine seit Ende Juli öffentlich bekannte Schwachstelle in OpenSSL wird in Zukunft wahrscheinlich verstärkt für Angriffe genutzt werden (wobei hier nicht nur das Risiko durch den Wurm "Slapper" besteht).

Da es immer wieder vorkommt, daß Systeme aus verschiedenen Gründen nicht gepatcht werden, ist solch ein Werkzeug unerläßlich, wenn man zuverlässig alle verwundbare Server erkennen patchen möchte. Unabsichtlich erschwerten die OpenSSL-Entwickler die Ermittlung von verwundbaren Versionen über das Netzwerk, denn auch die gegen die kritische Schwachstelle gepatchte OpenSSL-Version 0.9.6e stürzt bei Angriffen ab -- wenn auch kontrolliert. Das RUS-CERT hat jedoch ein Verfahren entwickelt, welches ermöglicht, Systeme, die einen zur Version 0.9.6e äquivalenten Hersteller-Patch (der häufig die Versionsnummer bei 0.9.6b oder 0.9.6c beläßt) einsetzen, von solchen, die wirklich verwundbar sind, zu unterscheiden.

Maßnahmen
Kompilieren Sie das unter

angebotenen Werkzeug und testen Sie Ihre Systeme. (Zum Kompilieren wird eine OpenSSL-Entwicklungsumgebung benötigt; es muß mit "-lcrypto" und auf manchen Systemen auch mit "-ldl" gelinkt werden.)

Es empfiehlt sich, größere Netze zunächst mit nmap zu scannen und die Tests auf die tatsächlich antwortenden Hosts zu beschränken. Das Werkzeug kann auf GNU-Systemen mit "xargs -P" in einen Parallel-Modus versetzt werden, so daß die Tests schneller ablaufen.

Für die Universität Stuttgart führt das RUS-CERT die Suche nach verwundbaren Systemen durch und berät Administratoren beim Aktualisieren verwundbarer Systeme.

Vulnerability ID

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=963