[Generic/bzip2] Schwachstelle in libzip2
(2010-09-22 16:21:01.758886+00)
Quelle:
http://www.bzip.org/downloads.htmlEine Pufferüberlaufschwachstelle in der von vielen Anwendungen genutzten freien Kompressionsbibliothek libbzip2 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherberegenden System auszuführen. Die neue Version 1.0.6 behebt diese Schwachstelle und es wird empfohlen, diese so rasch wie möglich zu installieren. Anwendungen, die entsprechenden Code von libbzip2 fest eingebaut haben, müssen ebenfalls aktualisiert werden.
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Nicht betroffene Systeme
- Plattform
- Einfallstor
- Angriffsvoraussetzung
- Angriffsvektorklasse
- Auswirkung
- Typ der Verwundbarkeit
- Gefahrenpotential
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Vulnerability ID
- Weitere Information zu diesem Thema
Zusammenfassung
- CVE-2010-0405:
Betroffen: libbzip2vor Version 1.0.6Nicht betroffen: libbzip21.0.6Plattform: Unixoide Betriebssysteme
Microsoft WindowsEinfallstor: komprimierte Daten Angriffsvoraussetzung: Netzwerk Angriffsvektorklasse: remote Auswirkung: user compromise Typ: Speicherverletzung Gefahrenpotential: hoch bis sehr hoch Workaround: sehr bedingt Gegenmaßnahmen: neue Version Vulnerability ID: CVE-2010-0405
Betroffene Systeme
- Die Funktion
BZ2_decompressindecompress.cin bzip2 sowielibbzip2der Versionen vor 1.0.6
Nicht betroffene Systeme
- bzip2 1.0.6
libbzip21.0.6
Plattform
- Unixoide Betriebssysteme
- Microsoft Windows
Einfallstor
- Komprimierte Daten, die auf einem betroffenen System dekomprimiert werden.
Angriffsvoraussetzung
- Zugriff auf ein Netzwerk, über das entsprechende Daten an ein betroffenes System geschickt werden können. Dies kann z.B. auch per E-Mail oder über eine Webseite erfolgen
(network)
Angriffsvektorklasse
- Über eine Netzwerkverbindung
(remote)
Auswirkung
- Ausführung beliebigen Programmcodes auf dem beherbergenden System
(user compromise)
Hier ist anzumerken, dass zahlreiche Anwendungen, die die Kompressionsbibliotheken nutzen, mit administrativen Privilegien ausgestattet werden können oder müssen. In diesem Fall führt die erfolgreiche Ausnutzung der Schwachstelle direkt zur Systemkompromittierung.
Typ der Verwundbarkeit
- Speicherverletzung
(memory corruption)
Gefahrenpotential
- hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Eine Pufferüberlaufschwachstelle in der Funktion BZ2_decompress in decompress.c Kompressionsbibliothek libbzip2 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des des diese Funktion aufrufenden Prozesses ausgeführt. Sofern dieser Prozess administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.
Da die Bibliothek von zahlreichen Anwendungen genutzt werden, die z.T. im Betrieb mit administrativen Privilegien ausgestattet sind, vervielfachen sich die möglichen Angriffspunkte. Insbesondere Sicherheitsanwendungen, wie z.B. die freie Malwarescannersoftware ClamAV, verwenden die betroffenen Routinen, um komprimierte Daten auf Malware zu untersuchen.
Besonderes Augenmerk sollte auch Anwendungen zuteil werden, die die Bibliothek libbzip2 nicht dynamisch einbinden (also die Systeminstallation der Bibliothek verwenden) sondern die benötigten Funktionen im eigenen Code mitbringen. Diese bleiben auch nach einer Aktualisierung der libbzip2-Installation des beherbergenden Betriebssystems verwundbar.
Die Bibliothek ist auch unter Microsoft Windows verfügbar und wird dort meist als Dynamic Link Library eingesetzt.
Workaround
- Als Workaround kann nur die Vermeidung der Benutzung der verwundbaren Funktionen angewendet werden. Z.T. kann dies durch die temporäre Umbenennung der entsprechenden Bibliothek erfolgen, wobei hier mit schwer vorhersehbaren Nebeneffekten zu rechnen ist. Diese Maßnahme kann jedoch nur Angriffe auf Anwendungen verhindern, die die Bibliothek dynamisch einbinden. Anwendungen, die die entsprechenden Funktionen im eigenen Code mitbringen, können weiterhin angegriffen werden.
Gegenmaßnahmen
- Installation von bzip2 1.0.6
- Installation entsprechender Updates der verschiedenen Distributoren
- Installation aktualisierter Versionen von Anwendungen, die entsprechend verwundbaren Code enthalte, z.B. ClamAV 0.96.3
Vulnerability ID
Weitere Information zu diesem Thema
- bzip2 Homepage
- Meldung auf H-Online
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1641