[SGI/IRIX] Schwachstellen in Gauntlet Firewall Proxies unter IRIX - Patches werden nicht zur Verfügung gestellt
(2001-12-04 11:52:21+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00303.html
Das bis November 2001 von SGI ausgelieferte Gauntlet Firewall package von NAI für IRIX enthält zwei buffer overflow bugs, die über eine Netzwerkverbindung dazu ausgenutzt werden können, das beherbergende Rechnersystem zu kompromittieren. Da SGI dieses Produkt nicht weiterpflegt, werden keine Patches zur Verfügung gestellt.
Betroffene Systeme
- Gauntlet 4.1 für IRIX 6.2
- Gauntlet 4.1 für IRIX 6.3
- Gauntlet 4.1 für IRIX 6.4
- Gauntlet 4.1 für IRIX 6.5
EinfallstorSMTP
-Verbindung an den beherbergenden Rechner (z. B. E-Mail-Nachricht an einen Empänger im geschützten Netz)
Auswirkung
Kompromittierung des beherbergenden Rechnersystems
(remote root compromise)
Mittelbar sind durch die Kompromittierung des Firewallsystems subsequente Angriffe auf das geschützte Netz möglich.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Das RUS-CERT meldete bereits am 2001-09-07 in einem generischen Advisory zwei Schwachstellen im Gauntlet Firewallsystem ([Generic/Gauntlet Firewall, PGP e-ppliance, McAfee WebShield] Buffer Overflow in Gauntlet Firewall ). Bei diesen Schwachstellen handelt es sich um jeweils einen buffer overflow bug in smap/smapd
und im Computer Science Major Accessibility Program (CSMAP
). Diese Dienste sind als SMTP-Proxies für die Bearbeitung des SMTP
-Verkehrs (E-Mail) im Firewallsystem zuständig und ersetzen in dieser Funktion sendmail
.
Durch eine speziell formulierte E-Mail-Nachricht an das beherbergende System bzw. einen Empfänger im durch das Firewallsystem geschützten Netz ist es möglich, einen Pufferüberlauf zu provozieren und beliebigen Programmcode mit den Privilegien der UID
der SMTP-Proxies (üblicherweise UID=root
) auf dem beherbergenden Rechnersystem auszuführen.
Silicon Graphics Inc. (SGI) lieferte bis zum November 2001 mit dem Betriebssystem IRIX das Gauntlet Firewall package aus, das von diesen Schwachstellen betroffen ist. Da SGI dieses Paket nicht weiter ausliefert bzw. pflegt, da der Hersteller Network Associates die Weiterentwicklung eingestellt hat, werden von SGI keine Patches zur Behebung der Schwachstelle bereitgestellt.
Gegenmaßnahmen
- SGI stellt keine Patches zur Behebung der Schwachstelle bereit.
Workaround
Deaktivierung der cyberpatrol
und smap/smapd
Daemons mittels folgender Schritte:
- loggen Sie sich als
root
ein:% /bin/su - Password: #
- konfigurieren Sie IRIX so, daß
smap
nicht gestartet wird:# /sbin/chkconfig smap off
- starten Sie den Gauntlet Firewall Manager:
- öffnen Sie folgenden URL in einem Webbrowser http://firewall:21000/auth/gui.html
- Autentifizieren Sie sich als Administrator
- Klicken Sie auf das Gauntlet-Logo um die Konfigurationsdaten zu laden.
- wählen Sie Services
- wählen Sie HTTP, das Fenster zur HTTP-Konfiguration sollte erscheinen
- klicken Sie auf Add, das Add HTTP Services-Fenster sollte erscheinen
- überprüfen Sie, ob Use Cyber Patrol Filtering angewählt ist und deaktivieren sie diesen Dienst ggf.
- klicken Sie Ok, dies sollte Sie ins Hauptmenü des Gauntlet Firewall Managers zurückbringen
- klicken Sie Exit.
- Da Sie Änderungen vorgenommen haben, erhalten Sie nun mehrere Optionen, wie diese in Kraft gesetzt werden sollen.
Klicken Sie Save, Apply, and Reboot.
Das System wird herunterfahren und neu starten. Danach sind Ihre Änderunge in Kraft getreten.
smap/smapd
führt dazu, daß nun sendmail
gestartet wird, dessen Konfiguration allerdings nicht der Konfiguration der vorher betriebenen SMTP-Proxies enspricht. Aus diesem Grunde ist es ratsam, entweder die Konfiguration entprechend anzupassen oder sendmail
abzuschalten. In letzterem Fall ist zu beachten, daß das Firewallsystem SMTP (E-Mail) nicht mehr zur Verfügung stellt.
Vulnerability ID
- CVE-2000-0437
- VU#206723 Network Associates CSMAP and smap/smapd vulnerable to buffer overflow thereby allowing arbitrary command execution
Weitere Information zu diesem Thema
- SGI Security Advisory - 20011104-01-I
- Gauntlet Firewall smap/smapd and CSMAP daemons buffer overflow
- CSMAP and smap/smapd BUFFER OVERFLOW VULNERABILITY ADVISORY
- L-140: Gauntlet Firewall CSMAP and smap/smapd Buffer Overflow Vulnerability
- CERT® Advisory CA-2001-25 Buffer Overflow in Gauntlet Firewall allows intruders to execute arbitrary code
Weitere Artikel zu diesem Thema:
- [Generic/Gauntlet Firewall, PGP e-ppliance, McAfee WebShield] Buffer Overflow in Gauntlet Firewall (2001-09-07)
Die Gauntlet Firewall, bzw. Produkte wie PGP e-ppliance und McAfee WebShield, weisen Buffer overflow bugs in densmap/smapd
undCSMAP
Daemons auf, wodurch Angreifer über das Netz beliebigen Programmcode mit den Privilegien des Daemons ausführen können.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=609