Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1406

[Sun/Solaris] Schwachstelle in der SRS Net Connect Software
(2007-11-05 21:57:27.767403+00)

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2007/11/msg00067.html

Eine Schwachstelle im Programm srsexec für Solaris 8, 9 und 10 der SRS Net Connect Software Version 3.2.3 und 3.2.4 kann von einem nichtprivilegierten Benutzer auf einem überwachten System dazu ausgenutzt werden, beliebigen Programmcode mit root-Privilegien auf dem beherbergenden Rechnersystem auszuführen.

Betroffene Systeme

Jeweils auf der SPARC-Plattform.

Nicht betroffene Systeme

Einfallstor
Ausführung des Kommandos srsexec

Angriffsvoraussetzung
unprivilegierter Zugriff auf ein verwundbares System
(unprivileged user credentials)

Angriffsvektorklasse
lokal
(local)

Auswirkung
Ausführung beliebigen Programmcodes mit administrativen Privilegien
(system compromise)

Typ der Verwundbarkeit
format string vulnerability

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die SRS Net Connect Software ist ein Softwarepaket der Sun Inc. für Solaris 8, 9 und 10, das dazu dient, Rechnersysteme durch ein dediziertes zentrales System zu überwachen. Die Software ist nur für Solaris-Systeme auf SPARC-Architekturen verfügbar.

Das Programm srsexec ist Teil des Paketes und wird in einer Installation auf jedem überwachten Client-System installiert.

Eine format string-Schwachstelle in diesem Programm kann von einem unpriviligierten Benutzer eines Client-Systems dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen und dieses so zu kompromittieren.

Feststellen der Verwundbarkeit
Mittels der Ausführung des Kommandos

  # chmod -s /opt/SUNWsrspx/bin/srsexec
kann festgestellt werden, ob die SRS Net Connect Software installiert ist.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1406