Der ovaction daemon ist als Komponente in den Netzwerk- und Systemadministrationsprodukten HP OpenView und Tivoli NetView für Bearbeitung von SNMP traps und SNMP events zuständig. Er besitzt eine Schwachstelle, die von einem Angreifer dazu ausgenutzt werden kann, mindestens mittelbar administrative Rechte auf dem beherbergenden System zu erlangen.

Betroffene Systeme

• HP OpenView Network Node Manager (NNM) Version 6.1 in der voreingestellten Konfiguration auf folgenden Plattformen:
  • HP-UX 10.20
  • HP-UX 11.00
  • Sun Solaris 2.6
  • Sun Solaris 7
  • Sun Solaris 8
  • Microsoft Windows NT 4.0 bis inkl. SP6a mit SRP
  • Microsoft Windows 2000 Professional, Server, Datacenter Server, Advanced Server jeweils bis inkl. SP2
• HP OpenView Network Node Manager 5.01 auf folgenden Plattformen:
  • HP-UX 10.20
  • HP-UX 11.00
  • Sun Solaris 2.6
  • Sun Solaris 7
  • Sun Solaris 8
  Anmerkung: Versionen vor 6.1 sind in der voreingestellten Konfiguration laut dem CERT® Advisory CA-2001-24 nicht verwundbar, können jedoch durch nachträgliche Konfiguration in einen verwundbaren Zustand gebracht werden.
• IBM Tivoli NetView 5.0, 5.1, 6.0 auf folgenden Plattformen:
  • Sun Solaris 2.5.1
  • Sun Solaris 2.6
  • Sun Solaris 7
  • Sun Solaris 8
  • Microsoft Windows NT 4.0 bis inkl. SP6a mit SRP
  • Microsoft Windows 2000 Professional, Server, Datacenter Server, Advanced Server jeweils bis inkl. SP2
  • IBM AIX 4.3.1
  • IBM AIX 4.3.2
  • IBM AIX 4.3.3
  • IBM AIX 5.1
  • Compaq Tru64 4.0g
  • Compaq Tru64 5.0
  • Compaq Tru64 5.0a
  • Compaq Tru64 5.0f
  • Compaq Tru64 5.1

Einfallstor
Senden einer speziell formulierten SNMP Nachricht an den beherbergenden Rechner.

Auswirkung
Unautorisierte Privilegienerweiterung bis hin zur Kompromittierung des beherbergenden Rechners.
(remote root compromise)

Typ der Verwundbarkeit
Fehlerhafte Verarbeitung von Eingaben
(input validation error)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Netzwerk- und Systemadministrationswerkzeuge HP OpenView sowie Tivoli NetView benutzen den daemon ovactiond zur Bearbeitung von SNMP traps und SNMP events, die zur Kommunikation innerhalb des administrierten Netzwerkes verwendet werden.

Die fehlerhaft implementierte Eingabeverarbeitung des ovactiond ermöglicht es einem Angreifer, durch das Absetzen eines speziell formulierten snmptrap-Kommandos über das Netzwerk, beliebige Kommandos mit den Rechten des ovactiond auf dem beherbergenden Rechner auszuführen.

Unter UNIX-Betriebssystemen wird ovactiond üblicherweise unter der UID=bin gestartet, sodaß die geschickte Manipulation des Systems mit diesen Rechten dazu führen kann, daß sich der Angreifer mittelbar root-Rechte verschafft.

Unter Microsoft-Betriebssystemen läuft ovactiond üblicherweise im local system security context, sodaß das System durch diesen Angriff unmittelbar kompromittiert werden kann.

Gegenmaßnahmen
Installation der entsprechenden Patches:

• HP OpenView Network Node Manager 6.1:
  HP patch PHSS_23779
  http://us-support2.external.hp.com/wpsl/bin/doc.pl
• HP OpenView Network Node Manager 5.01:
  HP patch PHSS_23779
  http://us-support2.external.hp.com/wpsl/bin/doc.pl
• IBM Tivoli NetView 6.0:
  IBM patch Tivoli ovactiond update
  http://www.tivoli.com/support/
• IBM Tivoli NetView 5.1:
  IBM patch Tivoli ovactiond update
  http://www.tivoli.com/support/
• IBM Tivoli NetView 5.0:
  IBM patch Tivoli ovactiond update
  http://www.tivoli.com/support/

Weitere Information zu diesem Thema

• SNMP - Simple Network Managment Protocol
• Tivoli Support
• HP security bulletin (HP SB #154)
• CERT® Vulnerability Note VU#952171: Hewlett Packard OpenView and Tivoli NetView do not adequately validate SNMP trap arguments
• SecurityFocus bugtraq id 2845: OVActionD SNMPNotify Command Execution Vulnerability

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/