RUS-CERT-1026 – Archivierte Meldung

Meldung Nr: RUS-CERT-1026

[Generic/X11] Schwachstelle im Font-Server
(2002-11-26 11:40:52.830106+00)

Quelle: http://cert.uni-stuttgart.de/archive/alert/2002/11/msg00005.html

Eine alte Schwachstelle im X11-Fontserver ist offenbar von Angreifern zur Erlangung eines interaktiven Zugangs ausnutzbar.

Betroffene Systeme

X11 Release 6, 6.1, 6.3, 6.4
Sun Solaris 2.5.1, 2.6, 7, 8, 9
HP-UX 10.10, 10.20, 10.24, 11.00, 11.04, 11.11 und 11.22
OpenBSD bis einschließlich 2.6

Nicht betroffene Systeme

X11 Release 6.5.1, 6.6
XFree86 3.3.6, 4.x und damit alle neueren GNU/Linux-Distributionen
OpenBSD ab Version 2.7
Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor
Anfragen an den X11-Fontserver (TCP-Port 7100)

Auswirkung
Ein Angreifer kann beliebigen Programmcode mit den Rechten des xfs-Prozesses ausführen (dies sind typischerweise nobody-Rechte).

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im X11-Fontserver xfs fehlt im Dispatching-Code eine Bereichsprüfung für den Index beim Zugriff auf ein Feld von Funktionszeigern. Ein Angreifer kann dies ausnutzen, um über eine gezielt formulierte Anfrage an den Fontserver den Funktionszeiger aus einem mit seinen Daten beschriebenen Puffer zu lesen. Dadurch kann der Programmzeiger beliebig umgeleitet werden, wodurch wiederum beliebiger Maschinencode mit den Rechten des xfs-Prozesses ausgeführt werden kann.

Im Dezember 1999 wurde bereits eine Korrektur im XFree86-CVS vorgenommen. Deswegen sind die meisten GNU/Linux-Distributionen von diesem Problem nicht betroffen.

Workarounds

Abschalten des XFS-Dienstes. Unter Solaris kann dazu als User root der Befehl
```
# fsadmin -d
```
eingegeben werden. Zusätzlich sollte der xfs-Prozess, der möglicherweise läuft, beendet werden, z.B. durch Reboot der Maschine.
Filtern von Port 7100/TCP, um zumindest den Kreis der Angreifer einzuschränken.

Gegenmaßnahmen

Die angekündigten Patches für Solaris sind derzeit nicht verfügbar.

Vulnerability ID

Weitere Information zu diesem Thema

ISS X-Force Security Advisory: Solaris fs.auto Remote Compromise Vulnerability

Revisionen dieser Meldung

V.1.0 (2002-11-26)
V.1.1 (2002-12-09) Weitere betroffene Systeme hinzugefügt.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1026