Bei den Nachforschungen zum RUS-CERT-Advisory 2001-08:01 wurde festgestellt, daß auch einige PAM- und NSS-Module, die PostgreSQL als Datenbank verwenden, im Grunde dasselbe Problem aufweisen.

Betroffene Systeme
Systeme, die folgende Software-Module verwenden:

• libnss-pgsql 0.9.0 von Jörg Wendland
• nss_postgresql 0.6.1 von Alessandro Gardich
• pam-pgsql 0.9.2 von Jörg Wendland
• pam_pgsql 0.0.3 von Alessandro Gardich
• pam-pgsql 0.5.1 von Leon J Breedt

Einfallstor
Bei den PAM-Modulen: eine Möglichkeit, einen Login-Versuch starten (z.B. über Telnet oder SSH). Bei den NSS-Modulen: eine Möglichkeit, NSS-Datenbank-Abfragen zu stellen. Dazu ist häufig ein lokales Benutzerkonto erforderlich.

Auswirkung
Möglicherweise können Datenbanktabellen verändert werden oder unauthorisierte Zugriffe auf das System vorgenommen werden (insbesondere bei der Schwachstelle in den PAM-Modulen).

Typ der Verwundbarkeit
SQL injection bug

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die eingangs erwähnten Module sind gegenüber Angriffen verwundbar, die im RUS-CERT-Advisory 2001-08:01 beschrieben wurden (deutsche Zusammenfassung). Im Falle der PAM-Module ist zu befürchten, daß Eingreifer über das Netz unauthorisierten Zugang zum System erlangen können. Im NSS-Fall können böswillige lokale Benutzer möglicherweise das System veranlassen, ihnen mehr Rechte zu gewähren, als ihnen eigentlich zustehen.

Gegenmaßnahmen
Jörg Wendland stellt korrigierte Versionen seiner Module bereit:

• http://sourceforge.net/project/showfiles.php?group_id=24083

Weitere Information zu diesem Thema

• RUS-CERT Advisory 2001-08:01
• RUS-CERT Advisory 2001-09:01
• Artikel mit Hintergrundinformationen und einem Patch für PostgreSQLs libpq.

Weitere Artikel zu diesem Thema:

• [Generic/Apache] Schwachstellen in diversen Authentifizierungsmodulen (2001-08-29)
  Schwachstellen in diversen Datenbankauthentifizierungsmodulen ermöglichen einem Angreifer das Ausführen beliebiger SQL-Anweisungen mit den Rechten des jeweiligen Datenbankbenutzers.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/