Mehrere Schwachstellen in verschiedenen Implementierungen des Multimedia-Protokolls H.323 können dazu ausgenutzt werden, beliebigen Programmcode auf verwundbaren Systemen auszuführen oder solche in einen unbenutzbaren Zustand zu versetzen (Denial of Service).

Betroffene Systeme

• Cisco:
  • Cisco CallManager Versionen 3.0 bis 3.3
  • Cisco Conference Connection (CCC)
  • Cisco Internet Service Node (ISN)
  • Cisco BTS 10200 Softswitch
  • Cisco 7905 IP Phone H.323 Software Version 1.00
  • Cisco ATA der Serie 18x mit H.323/SIP der Versionen vor 2.16.1
  Details sind zu entnehmen aus dem Cisco Security Advisory 47843
• Microsoft:
  • Micosoft Internet Security and Acceleration Server 2000
  • Microsoft Small Business Server 2000
  • Microsoft Small Business Server 2003
  Details sind zu entnehmen aus demMicrosoft Security Bulletin MS04-001
• Tandberg Video Conferencing Systeme

Möglicherweise betroffene Systeme

• Hewlett-Packard untersucht derzeit das Problem und wird ggf. ein Security Bulletin zu betroffenen Systemen herausgeben
• Lucent untersucht derzeit das Problem und wird ggf. ein Announcement zu betroffenen Systemen herausgeben
• Avaya untersucht derzeit das Problem und wird ggf. ein Announcement zu betroffenen Systemen herausgeben

Einfallstor
Senden entsprechend formulierter H.323-Pakete an ein verwundbares System

Auswirkung

1. Nichtverfügbarkeit des beherbergenden Rechnersystems oder Dienstes
   (Denial of Service)
2. Ausführung beliebigen Programmcodes mit den Privilegien des die H.323-Pakete verarbeitenden Prozesses
   (je nach Implementierung remote user compromise bzw. remote root compromise)

Typ der Verwundbarkeit

• u.a. buffer overflow bug

Gefahrenpotential

1. mittel
2. hoch bis sehr hoch

Kontext
H.323 ist ein Protokoll für Echtzeitkommunikationsanwendungen. Es wird benutzt, um Anwendungen zu realisieren, bei denen Echtzeitkommunikation zwischen Teilnehmern über ein Netzwerk erforderlich ist, wie beispielsweise IP-Telefonie-, Videokonferenz-Anwendungen.

Beschreibung
In den H.323-Implementierungen verschiedener Hersteller sind z.T. mehrere Schwachstellen enthalten, die mittels des Sendens speziell formulierter H.323-Pakete an ein solchermaßen verwundbares System dazu ausgenutzt werden können:

1. das beherbergende Rechnersystem oder den Dienst in einen unbenutzbaren Zustand zu überführen
2. beliebigen Programmcode mit den Privilegien des die H.323-Pakete verarbeitenden Prozesses auszuführen.

Von diesen Schwachstellen können sowohl Anwendungen auf Endsystemen als auch Betriebssysteme aktiver Netzwerkkomponenten wie Router betroffen sein, die für das Routing von H.323-Verkehren eingesetzt werden. Dies gilt offenbar auch für filterfähige Router, die H.323-Verkehre verwerfen sollen. Details sind den Mitteilungen der einzelnen Hersteller zu entnehmen.

Gegenmaßnahmen
Installation der in den entsprechenden Hersteller-Announcements beschriebenen Patches, bzw. neuen Versionen betroffener Software.

• Cisco Security Advisory 47843: Vulnerabilities in H.323 Message Processing
• Microsoft Security Bulletin MS04-001
• Tandberg kündigt an, im zweiten Quartal 2004 Patches verfügbar zu machen.

Vulnerability ID

• CAN-2003-0819
• VU#749342

Credits
Die Schwachstellen wurden von der Oulu Security Programming Group (OUSPG) entdeckt.

Weitere Information zu diesem Thema

• CERT/CC Advisory CA-2004-01 Multiple H.323 Message Vulnerabilities
• Avaya Announcement
• H.323-Spezifikation der ITU (Preis: CHF 96)
• Microsoft Security Bulletin MS04-001 (deutsche Version)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/