Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-763

[Generic/Listar,Ecartis] Gewinnung von root-Rechten durch E-Mail-Nachrichten
(2002-03-27 15:57:57+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/03/msg00176.html

In Listar bzw. Ecartis sind über E-Mail ausnutzbare Pufferüberlauffehler entdeckt worden.

Betroffene Systeme

(Ecartis ist die Weiterentwicklung von Listar unter neuem Namen.)

Einfallstor
Von Listar/Ecartis verarbeitete E-Mail-Nachrichten

Auswirkung
Der Angreifer kann beliebigen Code mit den Rechten des Ecartis-Accounts ausführen (remote user compromise).

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im Mailinglisten-Manager Ecartis (ehemals: Listar) wurde ein Pufferüberlauffehler entdeckt, über den Angreifer, die Nachrichten an Mailinglisten schicken können, beliebigen Code mit den Rechten des Benutzers, unter dem Ecartis läuft, ausführen können. Da offenbar Exploit-Code bereits existiert, sollte unbedingt ein Update durchgeführt werden.

Im erwähnten Advisory wird davon ausgegangen, daß Ecartis mit root-Rechten betrieben werden muß, was aber nicht der Fall ist. Wie die geschilderten Probleme zeigen, ist dies sogar ausdrücklich nicht empfehlenswert.

Gegenmaßnahmen

Es sollte nach Möglichkeit ein aktueller Snapshot verwendet werden, da derzeit Codestellen mit Potential für Pufferüberläufe umgeschrieben werden.

Weitere Informationen zu diesem Thema

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=763