Der X11-Server Xsun unter Solaris enthält einen Pufferüberlauffehler, der von Benutzern mit interaktivem Zugang dazu ausgenutzt werden kann, unautorisiert root-Rechte zu erlangen.

Betroffene Systeme

• Solaris 8 für x86- (Intel) und SPARC-Plattformen
• Solaris 7 für x86- (Intel) und SPARC-Plattformen
• Solaris 2.6 für x86- (Intel) und SPARC-Plattformen

Einfallstor
lokaler Aufruf des Kommandos

/usr/openwin/bin/Xsun [...] -co 

Auswirkung
Erlangung von root-Privilegien durch einen lokalen Benutzer
(local root compromise)

Typ der Verwundbarkeit
(heap) buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Xsun ist der Standard X11-Server unter Solaris. Um bei Aufruf durch nichtprivilegierte Benutzer (z. B. mittels des Kommandos xinit von der Kommandozeile aus) auf die erforderlichen Systemressourcen zugreifen zu können, besitzt Xsun unter Solaris für SPARC-Plattformen eine SetGID=root-Flagge und unter Solaris für x86-Plattformen eine SetUID=root-Flagge.

Beschreibung
Bei der Verarbeitung des Kommendozeilenparameters '-co' des Kommandos /usr/openwin/bin/Xsun kann ein Heap-Pufferüberlauf (heap buffer overflow) auftreten, der dazu ausgenutzt werden kann, unautorisiert unter Solaris für x86-Plattformen (Intel) root-Benutzerrechte, bzw. unter Solaris für SPARC-Plattformen root-Gruppenrechte und darüber mittelbar root-Benutzerrechte zu erhalten.

Gegenmaßnahmen
Patches sind derzeit noch nicht verfügbar

Workaround
Falls ein Start des X-Servers von der Kommandozeile aus nicht benötigt wird, kann die SetGID- bzw. die SetUID-Flagge problemlos entfernt werden.
Auf Standardinstallationen wird Xsun üblicherweise über graphische Login-Werkzeuge wie dtlogin oder xdm gestartet, die bereits über die Rechte zum Zugriff auf die erforderlichen Ressourcen verfügen und daher nicht auf eine Rechteerweiterung mittels einer SetGID- bzw. einer SetUID-Flagge angewiesen sind.

Mit folgender Kommandosequenz kann die SetGID- bzw. SetUID-Flagge entfernt werden:

$ su
Password:
# ls -lF /usr/openwin/bin/Xsun
-rwxr-sr-x   1 root     root      903512 Jul  8  1999 /usr/openwin/bin/Xsun*
# chmod -s /usr/openwin/bin/Xsun
# ls -lF /usr/openwin/bin/Xsun
-rwxr-xr-x   1 root     root      903512 Jul  8  1999 /usr/openwin/bin/Xsun*
# exit                                                                          
$

Vulnerability ID

• CAN-2002-0158

Weitere Information zu diesem Thema

• NSFOCUS SA2002-01: Sun Solaris Xsun "-co" heap overflow

Weitere Artikel zu diesem Thema:

• [Sun/Solaris] Schwachstelle in Xsun (2001-04-17)
  Der X11-Server Xsun unter Solaris enthält einen buffer overflow bug, der dazu führen kann, daß sich Benutzer mit interaktivem Zugang unautorisiert root-Rechte verschaffen können.
• [Sun/Solaris] Buffer overflow bug in /usr/bin/tip (2001-03-28)
  Im Programm /usr/bin/tip ist ein buffer overflow bug enthalten, der dazu führen kann, daß lokale Benutzer mittelbar beliebige Kommandos mit root-Rechten ausführen können.
• [Sun/Solaris] Buffer overflow bug in arp (2001-01-16)
  Im Programm arp existiert eine Schwachstelle, die lokalen Benutzern erlaubt, beliebigen Code mit der GroupID bin auszuführen. Dies kann zur unerlaubten Erlangung von root-Rechten führen. Sun hat bereits Patches zur Verfügung gestellt.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/