In einer dynamischen Bibliotheksfunktion, die der Common Desktop Environment (CDE) Subprocess Control Service dtspcd verwendet, existiert ein buffer overflow bug, der von einem Angreifer über das Netz dazu ausgenutzt werden kann, beliebigen Programmcode mit der UID=root auszuführen.

Betroffene Systeme
UNIX/Linux-Systeme, die CDE betreiben.
Verwundbare Systeme:

• IBM
• Compaq Computer Corporation
• Hewlett Packard
• Sun
• The Open Group
• Caldera
• Xi Graphics

• SGI
• Data General
• TriTeal
• Alle weiteren Unix/Linux-Systeme, die CDE betreiben

Einfallstor
CDE Request an dtspcd
Typischerweise akzeptiert dtspcd Requests auf Port 6112/tcp

Auswirkung
Kompromittierung des beherbergenden Rechners über eine Netzwerkverbindung
(remote root exploit)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
CDE ist eine auf dem X-Windowsystem basierende integrierte graphisches Benutzungsschnittstelle für UNIX und Linux.

Der CDE Subprocess Control Service dtspcd akzeptiert Anfragen von CDE-Clients über Netzwerkverbindungen, um nach einer Authentifizierung Kommandos auszuführen und Applikationen zu starten. Üblicherweise wird dtspcd beim Systemstart nicht direkt gestartet, sondern durch den Internetdaemon inetd bei Empfang von enstprechenden CDE-Anfragen auf Port 6112/tcp mit der UID=root gestartet.

Beschreibung
In einer Funktion der dynamischen CDE SPC Bibliothek /usr/dt/lib/libDtSvc.so.1 existiert ein buffer overflow bug. Bei der Verarbeitung von CDE-Anfragen ruft dtspcd diese Funktion auf. Mittels einer speziell formulierten CDE-Anfrage an Port 6112/tcp des beherbergenden Rechners kann ein Angreifer einen Pufferüberlauf provozieren und subsequent beliebigen Programmcode mit der UID=root ausführen. Eine Kompromittierung des beherbergenden Systems ist dadurch trivial möglich.

Gegenmaßnahmen
Installation von Patches, soweit verfügbar. Folgende Hersteller bieten bereits Patches an:

• Caldera
  • CSSA-2001-SCO.30
• HP hat ein Advisory zu diesem Problem veröffentlicht:
  • HPSBUX0111-175
• IBM APARs (Authorized Program Analysis Reports) zu diesem Problem:
  • APAR IY06694
  • APAR IX89419 (AIX 4.3.0) sowie
  • APAR IX89419 (AIX 4.3.0)
  • APAR IX89893 (AIX 4.2.0)
  • APAR IX89806 (AIX V4.1 BOS)
• Sun/Solaris-Patches zu diesem Problem:

  Betriebssystem	PatchID
  Solaris 8	108949-07
  Solaris 8 x86	108950-07
  Solaris 7	106934-04
  Solaris 7 x86	106935-04
  Solaris 2.6	105669-11
  Solaris 2.6 x86	105670-10
  Solaris 2.5.1	108363-02
  Solaris 2.5.1 x86	108364-02

  • Sun Security Bulletin #00214

Workaround

• Abschaltung von dtspcd
  
  Üblicherweise wird dtspcd im laufenden Betrieb durch den Internetdaemon inetd mit der UID=root gestartet.
  Folgende Schritte sind zur Abschaltung erforderlich:
  1. loggen Sie sich als Superuser ein:
     
     $ su
Password:
#
     
     
  2. editieren Sie die Datei
     
     /etc/inetd.conf
     
     
  3. Suchen Sie folgende Zeile:
     
     dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd
     
     
  4. Kommentieren Sie diese aus, in dem Sie ein Doppelkreuz ('#') am Zeilenanfang einfügen:
     
     #dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd
     
     
  5. Starten Sie inetd neu:
     
     root@host # kill - HUP <PID des inetd>
     
     
  6. Loggen Sie sich wieder aus:
     
     # exit
$
     
     
• Filterung von CDE-Anfragen auf Port 6112/tcp mittels eines Paketfilters oder der TCP-Wrappers.
  
  Achtung! Diese Maßnahme beseitigt nicht die Verwundbarkeit des Systems, sondern schränkt lediglich die Zahl der möglichen Angreifer je nach Konfiguration ein.

Vulnerability ID

• CAN-2001-0803 (CVE)
• VU#172583 (CERT/CC)

Weitere Information zu diesem Thema

• ISS Security Advisory: Multi-Vendor Buffer Overflow Vulnerability in CDE Subprocess Control Service
• CERT Advisory CA-2001-31 Buffer Overflow in CDE Subprocess Control Service

Weitere Artikel zu diesem Thema:

• [Generic/CDE] Mehrere Schwachstellen in CDE ToolTalk (2002-07-11)
  Zwei Schwachstellen im ToolTalk-Dienst der Common Desktop Environment (CDE) ermöglichen Angreifern über eine Netzwerkverbindung bzw. über interaktiven Zugang zum System beliebigen Programmcode mit den Privilegien des ToolTalk-Dienstes (i. a. root) auszuführen.
• [Generic/CDE] Schwachstelle im ToolTalk-RPC-Dienst (2001-10-08)
  Im ToolTalk-RPC-Dienst, der von vielen komerziellen UNIX-Versionen im Rahmen von CDE ausgeliefert wird und per Voreinstellung aktiviert ist, wurde eine weitere Schwachstelle gefunden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/