Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-364

[Generic/qpopper] Buffer overflow beim USER-Kommando
(2001-06-02 18:43:46+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/06/msg00011.html

Der POP3-Server qpopper von Qualcomm weist eine Schwachstelle auf, mit der Angreifer über das Netz administrative Rechte auf dem System erlangen können.

Betroffene Systeme

Typ der Verwundbarkeit
buffer overflow bug

Beschreibung
Zu Beginn einer POP3-Verbindung teilt der Client dem Server den Namen des Benutzer-Accounts über das Kommando USER mit. Zwar enthalten die verwundbaren qpopper-Versionen Code, der feststellt, ob ein überlanger Account-Name übergeben wurde und dies sogar in den Logfiles festhält (siehe unten), aber der Name wird trotzdem in einen Puffer fester Länge auf den Stapel kopiert. Ein Angreifer kann also durch die Wahl eines entsprechenden Account-Names über das Netz den qpopper-Server dazu verleiten, beliebigen Code auszuführen. Da der Serverprozeß zu diesem Zeitpunkt noch mit root-Privilegien läuft, ist eine vollständige Kompromittierung des Systems möglich.

Ein Angriffsversuch taucht wie folgt in den System-Logfiles in auf:

Jun  2 20:25:38 myhost in.qpopper[990]: Excessive user name length (nnn);
   truncated to 64: USERNAME [pop_user.c:189]
nnn und USERNAME werden dabei vom Programm durch die tatsächlich vorhandenen Werte ersetzt. Falls es einem Angreifer gelingt, das System zu kompromittieren, kann er natürlich diese Zeile aus dem Logfile wieder löschen (wenn die Log-Datei auf der lokalen Maschine gespeichert ist).

Auswirkung
Ausführung beliebigen Programmcodes mit root -Rechten über eine Netzwerkverbindung.
(remote root exploit)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen

Da qpopper bereits in der Vergangenheit durch ähnliche Fehler auffiel, ist es möglicherweise sinnvoll, zu einer anderen POP3-Server-Implementation zu wechseln.

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=364