In Squid wurden mehrere Sicherheitslücken entdeckt, die zu einem DoS-Angriff gegen den Server sowie möglicherweise der unberechtigten Ausführung beliebigen Programmkodes mit den Privilegien des Squid-Prozesses ausgenutzt werden können.

Betroffene Systeme

• Squid Version 2.x bis einschließlich Version 2.4.STABLE3

Einfallstor

1. SNMP-Anfragen auf Port 3401/tcp/udp (dies ist der Standardport auf dem Squid SNMP-Anfragen erwartet)
2. FTP-Anfragen
3. Einkompilierte HTCP-Unterstützung (nicht in der Standardkonfiguration enthalten)

Auswirkung

1. Nichtverfügbarkeit des Proxy-Dienstes (Denial of Service)
2. Nichtverfügbarkeit des Proxy-Dienstes (Denial of Service) möglicherweise Ausführung beliebigen Programmkodes auf dem beherbergenden Rechnersystem mit den Privilegien des Squid-Prozesses (remote user compromise, möglicherweise remote root compromise)
3. Auch nach Abschaltung ist das HTCP-Interface noch aktiv

Typ der Verwundbarkeit

1. memory leak
2. buffer overflow bug
3. Programmierfehler

Gefahrenpotential

1. hoch
2. hoch bis sehr hoch
3. mittel (bis dato liegen dem RUS-CERT keine Erkenntnisse über eine mögliche Ausnutzung dieser Schwachstelle vor)

Kontext
Squid ist ein populäres, freies Open-Source-WWW-Proxy- und -Cachesystem hauptsächlich für die Protokolle FTP und HTTP. Es ist für den Einsatz auf Unix-Plattformen konzipiert und wird häufig als zentrales WWW- und FTP-Gateway eingesetzt.
Unter anderem unterstützt Squid SNMP, ein Protokoll zur Steuerung von Netzwerkkomponenten, und kann mittels dieses Protokolls wie eine Netzwerkkomponente überwacht werden.

Beschreibung

1. Die Routinen zur SNMP-Unterstützung in Squid enthalten eine Schwachstelle, die durch das Senden speziell formatierter SNMP-Anfragen an den SNMP-Port von Squid (üblicherwiese Port 3401) dazu ausgenutzt werden kann, den Proxy-Dienst und möglicherweise auch das beherbergende Rechnersystem in einen unbenutzbaren Zustand zu überführen (Denial of Service). In der Standardkonfiguration von Squid ist die SNMP-Unterstützung nicht eingeschaltet. Dieser Angriff kann von SNMP-anfrageberechtigten IP-Adressen aus durchgeführt werden. Sofern keine intelligente Netzwerkinfrastruktur den Squid-Server vor nichtplausiblen Anfragen schützt, können diese leicht gefälscht werden (IP spoofing).
2. Ein Pufferüberlauffehler in den Routinen zur Interpretierung von FTP-Anfragen führt bei spezieller Formatierung eines FTP-URLs dazu, daß der bearbeitende Kind-Prozeß von Squid fehlerhaft beendet wird (core dump). Hinreichend viele Anfragen dieser Art können dazu ausgenutzt werden, den Proxy-Dienst und möglicherweise auch das beherbergende Rechnersystem in einen unbenutzbaren Zustand zu überführen (Denial of Service).

   Durch die Natur der Schwachstelle ist die Möglichkeit ihrer Ausnutzung zur Ausführung beliebigen Programmkodes nicht unwahrscheinlich. Da Squid in der Standardkonfiguration die zum Programmstart notwendigen root-Rechte nicht vollständig aufgibt, würde eine erfolgreiche Ausnutzung des Pufferüberlauffehlers dazu führen, daß ein Angreifer über eine Netzwerkverbindung beliebigen Programmkode unter der UID=0 (root) ausführen könnte. (remote root compromise). Dieser Angriff kann nur von IP-Adressen aus durchgeführt werden, die den Proxy-Dienst in Anspruch nehmen dürfen. Sofern keine intelligente Netzwerkinfrastruktur den Server vor nichtplausiblen Anfragen schützt, können diese leicht gefälscht werden (IP spoofing).

3. Die unten angegebene aktuelle Version von Squid behebt weiterhin eine Schwachstelle, die das HTCP-Interface des Servers betrifft: auch nach Abschaltung dieses Interfaces in den Konfigurationsdateien von Squid bleibt es weiterhin aktiv. Das HTCP-Interface ist im Squid User's Guide nicht dokumentiert und in der Standardkonfiguration des Servers nicht aktiviert. Weitere Information, z. B. über eine mögliche Ausnutzung dieser Schwachstelle, liegen dem RUS-CERT derzeit nicht vor.

Gegenmaßnahmen

• Installation von Squid-2.4.STABLE4
  Die unter 1. bis 3. genannten Schwachstellen sind in dieser Version behoben.

Weitere Information zu diesem Thema

• Detaillierte Beschreibung des Pufferüberlauffehlers in den Routinen zur Verarbeitung von FTP-URLs von Squid.
• Squid-Advisory SQUID-2002_1
• www.squid-cache.org
• Squid - A User's Guide
• SNMP - Simple Network Managment Protocol (Umfassendes Dokument zu SNMP).
• RfC 2756 Hyper Text Caching Protocol (HTCP/0.0)

Weitere Artikel zu diesem Thema:

• [MS/Windows] Buffer overflow bug im SNMP Dienst - Update (2002-03-15)
  Durch einen Pufferüberlauf im SNMP-Dienst unter Microsoft Windows 95, 98, 98SE, NT 4.0, 2000 und XP kann ein Angreifer über eine Netzwerkverbindung beliebigen Programmcode mit SYSTEM-Privilegien ausführen.
• [Cisco/Generic] Schwachstellen im SNMP Dienst (2002-02-18)
  Viele Cisco-Produkte weisen Schwachstellen in der Verarbeitung des Simple-Network-Management-Protokolls (SNMP) auf, die für Denial of Service-Angriffe (DoS) ausgenutzt werden können.
• [Sun/Solaris] Schwachstelle im Sun Solstice Enterprise Master Agent snmpdx (2002-02-13)
  Ein Pufferüberlauffehler im Sun Solstice Enterprise Master Agent snmpdx kann von einem Angreifer über eine Netzwerkverbindung dazu ausgenutzt werden, auf dem beherbergenden Rechnersystem root-Rechte zu erlangen.
• [Generic/SNMP] Mehrere verbreitete Schwachstellen in SNMP-Implementierungen (2002-02-12)
  In zahlreichen SNMP-Implementierungen wurden nach systematischen Tests Fehler gefunden.
• [Generic/Squid] Im Beschleuniger-Modus kann die Proxy-Funktionalität genutzt werden (2001-07-20)
  Im Beschleuniger-Modus des Squid Web Proxy Cache wird bei einer bestimmte Konfiguration die Proxy-Funktionalität durch einen Programmierfehler nicht - wie vorgesehen - abgeschaltet, sondern voll aktiviert. Ein solchermaßen konfigurierter Squid kann von Angreifern dazu mißbraucht werden, Firewalls zu umgehen oder Angriffe mit der IP-Adresse des Proxyservers zu maskieren.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/