Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-712

[Generic/Squid] Mehrere Schwachstellen im Squid Proxy/Cache-Server
(2002-02-25 14:31:42+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/02/msg00294.html

In Squid wurden mehrere Sicherheitslücken entdeckt, die zu einem DoS-Angriff gegen den Server sowie möglicherweise der unberechtigten Ausführung beliebigen Programmkodes mit den Privilegien des Squid-Prozesses ausgenutzt werden können.

Betroffene Systeme

Einfallstor

  1. SNMP-Anfragen auf Port 3401/tcp/udp (dies ist der Standardport auf dem Squid SNMP-Anfragen erwartet)
  2. FTP-Anfragen
  3. Einkompilierte HTCP-Unterstützung (nicht in der Standardkonfiguration enthalten)

Auswirkung

  1. Nichtverfügbarkeit des Proxy-Dienstes (Denial of Service)
  2. Nichtverfügbarkeit des Proxy-Dienstes (Denial of Service) möglicherweise Ausführung beliebigen Programmkodes auf dem beherbergenden Rechnersystem mit den Privilegien des Squid-Prozesses (remote user compromise, möglicherweise remote root compromise)
  3. Auch nach Abschaltung ist das HTCP-Interface noch aktiv

Typ der Verwundbarkeit

  1. memory leak
  2. buffer overflow bug
  3. Programmierfehler

Gefahrenpotential

  1. hoch
  2. hoch bis sehr hoch
  3. mittel (bis dato liegen dem RUS-CERT keine Erkenntnisse über eine mögliche Ausnutzung dieser Schwachstelle vor)

(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Squid ist ein populäres, freies Open-Source-WWW-Proxy- und -Cachesystem hauptsächlich für die Protokolle FTP und HTTP. Es ist für den Einsatz auf Unix-Plattformen konzipiert und wird häufig als zentrales WWW- und FTP-Gateway eingesetzt.
Unter anderem unterstützt Squid SNMP, ein Protokoll zur Steuerung von Netzwerkkomponenten, und kann mittels dieses Protokolls wie eine Netzwerkkomponente überwacht werden.

Beschreibung

  1. Die Routinen zur SNMP-Unterstützung in Squid enthalten eine Schwachstelle, die durch das Senden speziell formatierter SNMP-Anfragen an den SNMP-Port von Squid (üblicherwiese Port 3401) dazu ausgenutzt werden kann, den Proxy-Dienst und möglicherweise auch das beherbergende Rechnersystem in einen unbenutzbaren Zustand zu überführen (Denial of Service). In der Standardkonfiguration von Squid ist die SNMP-Unterstützung nicht eingeschaltet. Dieser Angriff kann von SNMP-anfrageberechtigten IP-Adressen aus durchgeführt werden. Sofern keine intelligente Netzwerkinfrastruktur den Squid-Server vor nichtplausiblen Anfragen schützt, können diese leicht gefälscht werden (IP spoofing).
  2. Ein Pufferüberlauffehler in den Routinen zur Interpretierung von FTP-Anfragen führt bei spezieller Formatierung eines FTP-URLs dazu, daß der bearbeitende Kind-Prozeß von Squid fehlerhaft beendet wird (core dump). Hinreichend viele Anfragen dieser Art können dazu ausgenutzt werden, den Proxy-Dienst und möglicherweise auch das beherbergende Rechnersystem in einen unbenutzbaren Zustand zu überführen (Denial of Service).

    Durch die Natur der Schwachstelle ist die Möglichkeit ihrer Ausnutzung zur Ausführung beliebigen Programmkodes nicht unwahrscheinlich. Da Squid in der Standardkonfiguration die zum Programmstart notwendigen root-Rechte nicht vollständig aufgibt, würde eine erfolgreiche Ausnutzung des Pufferüberlauffehlers dazu führen, daß ein Angreifer über eine Netzwerkverbindung beliebigen Programmkode unter der UID=0 (root) ausführen könnte. (remote root compromise). Dieser Angriff kann nur von IP-Adressen aus durchgeführt werden, die den Proxy-Dienst in Anspruch nehmen dürfen. Sofern keine intelligente Netzwerkinfrastruktur den Server vor nichtplausiblen Anfragen schützt, können diese leicht gefälscht werden (IP spoofing).

  3. Die unten angegebene aktuelle Version von Squid behebt weiterhin eine Schwachstelle, die das HTCP-Interface des Servers betrifft: auch nach Abschaltung dieses Interfaces in den Konfigurationsdateien von Squid bleibt es weiterhin aktiv. Das HTCP-Interface ist im Squid User's Guide nicht dokumentiert und in der Standardkonfiguration des Servers nicht aktiviert. Weitere Information, z. B. über eine mögliche Ausnutzung dieser Schwachstelle, liegen dem RUS-CERT derzeit nicht vor.

Gegenmaßnahmen

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=712