RUS-CERT-646 – Archivierte Meldung

Meldung Nr: RUS-CERT-646

[GNU/libc] Probleme mit glob
(2002-01-01 17:03:47+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/12/msg00181.html

In der C-Laufzeitbibliothek GNU libc ist ein Pufferüberlauf enthalten, der unter geeigneten Randbedingungen für Angriffe über das Netz ausgenutzt werden kann.

Betroffene Systeme

Systeme, die GNU libc verwenden, insbesondere also GNU/Linux-Systeme.

Der Fehler ist in den GNU-libc-Versionen 2.1 und 2.2 enthalten; frühere Versionen sind möglicherweise auch betroffen, werden aber nicht mehr gefplegt.

Einfallstor
Abhängig vom System sind viele verschiedene Angriffswege möglich, z.B. FTP (TCP-Port 21) in Verbindung mit einem installiertem FTP-Server, der auf die glob()-Implementierung der installierten libc zurückgreift.

Auswirkung
Erlangung der Privilegien des Ausführenden Programms (bei FTP-Servern: i.d.R. root-Rechte).

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Red Hat behob mit einem Patch Ende November einen Pufferüberlauf in der Routine glob(), die Bestandteil der C-Laufzeitbibliothek libc ist und die zum Expandieren von Ausdrücken wie "*.c" in eine Liste von Dateinamen verwendet wird. Unter bestimmten Voraussetzungen konnte ein Server-Dienst durch diesen Fehler für Angriffe über das Netz verwundbar werden, aber auch lokale Angriffe sind denkbar. Verifiziert wurde durch Global InterSec LLC die Angreifbarkeit des OpenBSD-FTP-Servers, falls dieser gegen die GNU-libc-Implementierung von glob() gelinkt wird (was üblicherweise auf GNU/Linux-Systemen der Fall ist). Eine Reihe weiterer FTP-Server dürfte ebenfalls betroffen sein. (Das Problem ist allerdings unabhängig vom jüngsten Fehlern in den Globbing-Routinen von einigen FTP-Servern.)

Gegenmaßnahmen

Einspielen eines Hersteller-Updates (siehe Advisory von Global InterSec LLC und das von SuSE).
Zur Not kann der Patch von Red Hat verwendet werden. Das Neukompilieren der libc ist jedoch nicht vollständig trivial.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=646