Eine Schwachstelle im Solaris Druckdienst kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen oder es in einen unbenutzbaren Zustand zu versetzen.

Betroffene Systeme

• Solaris 8
• Solaris 9
• Solaris 10

Einfallstor
Port 515/tcp (printer spooler),
bzw. ggf. anderen konfigurierten Port

Angriffsvoraussetzung
Zugriff auf ein Netzwerk, über das Druckaufträge an ein betroffenes System gesandt werden können
(network)

Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)

Auswirkung

• Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit root-Privilegien
  (system compromise)
• Versetzen des beherbergenden Rechnersystems in einen unbenutzbaren Zustand
  (denial of service)

Typ der Verwundbarkeit
unbekannt
(unknown)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der BSD print protocol adaptor in.lpd implementiert unter Sun/Solaris das BSD print protocol zur Abwicklung von Druckaufträgen über Netzwerkverbindungen. Es stellt eine Netzwerkschnittstelle zu einer lokalen Druckerwarteschlange (print spooling system) zur Verfügung.

in.lpd wird über den Internetdaemon inetd gestartet. inetd wartet auf Verbindungen zum Port 515/tcp (printer spooler) und startet in.lpd sobald ein Verbindungswunsch eintrifft. in.lpd übernimmt die Verbindung und beendet sie nach ihrer Bearbeitung. Um Druckaufträge komfortabel über Netzwerkverbindungen abwickeln zu können, bietet in.lpd Druckklienten umfangreiche Funktionalität.

Beschreibung
Eine nicht näher spezifizierte Schwachstelle in in.lpd kann von einem Angreifer über das Senden entsprechend präparierter Daten über eine Netzwerkverbindung an Port 515/tcp (oder einen entsprechenden anderen Port, sofern das betreffende System entsprechend konfiguriert ist) dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien (root) auf dem beherbergenden Rechnersystem auszuführen und es somit zu kompromittieren.

Fehlgeschlagene Angriffsversuche können dazu führen, dass das beherbergende Rechnersystem in einen unbenutzbaren Zustand gerät. Selbstverständlich kann dieser Zustand auch willentlich durch einen Angreifer hergestellt werden.

Workaround
Als temporäre Maßnahme zur Verhinderung der Ausnutzung über eine Netzwerkverbindung, bzw. im Falle der Nichterforderlichkeit des netzwerkbasierten Druckdienstes auf dem betreffenden System als flankierende, jedoch dauerhafte Maßnahme können/sollten folgende Konfigurationen vorgenommen werden:

• Auf Systemen unter Solaris 8 und Solaris 9:
  1. Loggen Sie sich als root ein
  2. Editieren Sie die Datei /etc/inetd.conf

       # vi /etc/inetd.conf
       

  3. Suchen Sie die Zeile für den Druckdienst. Diese sieht üblicherweise so aus:

        printer stream tcp6 nowait root /usr/lib/print/in.lpd in.lpd
       

  4. Kommentieren Sie diese Zeile aus, indem sie ein Doppelkreuz '#' am Anfang der Zeile einfügen

       # printer stream tcp6 nowait root /usr/lib/print/in.lpd in.lpd 
       

  5. Schreiben Sie die Datei und verlassen Sie den Editor mit dem Kommando :wq.
  6. Senden Sie dem inetd-Prozeß ein HUP-Signal, um ihn zu veranlassen, die Konfigurationsdatei neu zu lesen:

       # /usr/bin/pkill -HUP inetd
       

  7. Loggen Sie sich wieder aus (man sollte nur zu administrativen Zwecken die unbeschränkten Privilegien des Benutzers root besitzen):

       # exit
       $
       

• Auf Systemen unter Solaris 10:
  
  1. Loggen Sie sich als root ein
  2. Abschaltung des Druckdienstes mittels der folgenden Kommandos:

       # svcadm disable svc:/application/print/rfc1179
       # svcadm disable svc:/application/print/ipp-listener
       # svcadm disable svc:/application/print/print/server
       

  3. Loggen Sie sich wieder aus (man sollte nur zu administrativen Zwecken die unbeschränkten Privilegien des Benutzers root besitzen):

       # exit
       $
       

Gegenmaßnahmen
Installation eines Patches:

• SPARC-Plattform:
  • Solaris 8: 109320-20
  • Solaris 9: 113329-19
  • Solaris 10: 127127-11
• x86-Plattform:
  • Solaris 8: 109321-20
  • Solaris 9: 114980-20
  • Solaris 10: 127128-11

Vulnerability ID

• Derzeit ist noch kein CVE-Name vergeben
• Sun Bug ID 6599099
• Sun Bug ID 6599100
• Sun Bug ID 6599950

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/