Die Implementierungen des telnet daemon verschiedener Hersteller auf der Codebasis des BSD telnetd besitzen eine Schwachstelle, die Angreifern die Ausführung beliebigen Programmcodes mit den Privilegien dieses daemon ermöglicht.

Betroffene Systeme
telnetd-Implementierungen auf BSD-Codebasis , u. a.:

• BSDI BSD/OS 4.0, 4.0.1
• FreeBSD 2.x
• FreeBSD 3.x, 3.5.1-RELEASE, 3.5.1-STABLE
• FreeBSD 4.0.x, 4.1.1-RELEASE, 4.1.1-STABLE, 4.2-RELEASE, 4.2-STABLE, 4.3-RELEASE, 4.3-STABLE
• NetBSD 1.0, 1.1, 1.2, 1.2.1, 1.3, 1.3.1, 1.3.2, 1.3.3, 1.4, 1.4.1, 1.4.2, 1,4.3, 1.5, 1.5,1
• OpenBSD 2.0, 2.1, 2.2, 2.3, 2.4, 2.5, 2.6, 2.7, 2.8
• IRIX 6.5
• Linux netkit-telnetd =< 0.17
• Solaris 2.0, 2.1, 2.2, 2.3, 2.4, 2.5, 2.5.1, 2.6
• Solaris 7
• Solaris 8
• möglicherweise telnetd-Implementierungen auf Cisco-Routern
• vermutlich weitere Implementierungen

Nicht betroffene Systeme

• Linux netkit-telnetd > 0.17
• OpenBSD 2.9

Einfallstor
TCP-Verbindung auf Port 23
(Senden eines speziell formatierten option string an telnetd)

Auswirkung
Ausführung beliebigen Programmcodes mit der UID des telnetd (üblicherweise UID=root)
(remote root compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Telnet daemons, die auf der BSD-Codebasis implementiert wurden, verarbeiten Optionen des Protokolls, die von einem Klienten geschickt werden, mittels der telrcv-Funktion. Während der Verarbeitung werden die zurückzusendenden Antworten in einem Puffer gespeichert, ohne die Länge der zu speichernden Daten zu überprüfen.
Durch das Senden von Kombinationen bestimmter Optionen ist es möglich, Daten im Puffer hinzuzufügen und so zu kumulieren, daß ein Pufferüberlauf stattfindet.
Da telnetd üblicherweise mit der UID=root gestartet wird, ist die Ausführung beliebigen Programmcodes mit root-Rechten bei erfolgreicher Ausnutzung dieser Schwachstelle möglich. Da weiterhin praktisch alle Implementierungen auf diesem Code basieren, ist davon auszugehen, daß der größte Teil der im Einsatz befindlichen telnet-Server als verwundbar einzustufen sind.

Exploit Code
veröffentlicht

Gegenmaßnahmen
Patches sind bislang nur für FreeBSD verfügbar:

• für Systeme mit installierten crypto-telnet sources:
  ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:49/telnetd-crypto.patch
  ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:49/telnetd-crypto.patch.asc (PGP-Signatur)
• für Systeme ohne installierten crypto-telnet sources:
  ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:49/telnetd.patch
  ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:49/telnetd.patch.asc (PGP-Signatur)

Workaround

• Abschaltung des telnetd und Umstieg auf OpenSSH
• Wenn eine Abschaltung nicht möglich ist:
  • Absicherung des telnetd durch einen enstprechenden Paketfilter: z. B. IPChains/IPTables unter Linux oder IPFilter unter verschiedenen UNIX-Derivaten.
    Das RUS-CERT stellt einen mirror der IPF-Distribution unter
    • http://cert.uni-stuttgart.de/archive/ip-filter/
    zur Verfügung.
  • Absicherung des telnetd durch Wietse Venemas TCP-Wrappers, verfügbar unter:
    • ftp://ftp.porcupine.org/pub/security/
    • http://cert.uni-stuttgart.de/archive/tcpwrappers/ (Mirror des RUS-CERT)
  Anmerkung:
  Diese Maßnahmen beseitigen mitnichten die Schwachstelle sondern ermöglichen lediglich eine Einschränkung des Adreßraumes, aus dem ein Angriff erfolgen kann. Daher rät das RUS-CERT dringend zu ersterer Maßnahme.

Weitere Information zu diesem Thema

• SecuriTeam.com: Multiple Vendors Telnet Daemon Vulnerability
• [FreeBSD] Buffer Overflow in telnetd - FreeBSD-SA-01:49
• BugtraQ Vulnerability Database: 3064

Weitere Artikel zu diesem Thema:

• [Generic/login] Ernste Schwachstelle in der Login-Prozedur verschiedener Unix-Systeme (Patchinformation aktualisiert) (2001-12-13)
  Der Code des System V-Programmes login enthält einen buffer overflow bug, der über eine Netzwerkverbindung dazu ausgenutzt werden kann, das beherbergende System zu kompromittieren.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/