Die Default-Permissions des Gerätes /dev/ipfilter, das vom IRIX-Paketfilterdaemon ipfilterd benutzt wird, erlaubt Benutzern mit interaktivem Zugang, die Netzwerkanbindung des beherbergenden Rechnersystems zu stören.

Betroffene Systeme

• IRIX 6.5
• IRIX 6.5.1 bis inkl. 6.5.10
• Frühere Versionen werden nicht weiter unterstützt, eine Verwundbarkeit gegen diese Schwachstelle kann nicht ausgeschlossen werden.

Nicht betroffene Systeme

• IRIX ab Version 6.5.11

Einfallstor
Authentifizierter Zugang zum beherbergenden Rechnersystem

Auswirkung
Nichtverfügbarkeit der Netzwerkanbindung des beherbergenden Rechnersystems
(Denial of Service)

Typ der Verwundbarkeit
Gefährliche Voreinstellungen
(hazardous default configuration)

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Im IRIX-Softwarepaket eoe.sw.ipgate ist der Daemon ipfilterd enthalten, der zur Konfiguration eines Filters für eintreffende IP-Pakete dient. Ein solcher Filter kann als einfache Paketfilter-Firewall für ein einzelnes Rechnersystem oder, falls das beherbergende Rechnersystem als Gateway konfiguriert ist, für das von diesem versorgte Netz eingesetzt werden. Das Paket eoe.sw.ipgate wird standardmäßig nicht installiert.

Beschreibung
Das Gerät /dev/ipfilter, das von ipfilterd benötigt wird, wird bei der Installation von IRIX 6.5 angelegt, auch wenn eoe.sw.ipgate, das den Daemon ipfilterd enthält, nicht installiert wird. Bei seiner Erzeugung durch /dev/MAKEDEV wird standardmäßig die Rechtemaske '644' angewandt. Die dabei angelegten Rechte erlauben es einem lokalen Benutzer, die Netzwerkanbindung des beherbergenden Rechnersystems bis zu seiner Nichtverfügbarkeit zu stören.

Feststellen der Verwundbarkeit
Mit folgendem Kommando ist festzustellen, ob ein gegebenes System verwundbar ist:

$ ls -l /dev/ipfilter
crw-r--r--    1 root     sys        59,  0 Apr 12 08:33 /dev/ipfilter

Workaround
Durch Änderung der Rechtemaske auf '600' kann das Problem behoben werden. Dies kann durch folgende Kommandosequenz bewerkstelligt werden:

1. Loggen Sie sich als root ein:

   $ su
   Password:
   #
   

2. Ändern Sie die Rechtemaske auf '600':

    
   # chmod 600 /dev/ipfilter
   

3. Überprüfen Sie das Ergebnis:

   # ls -l /dev/ipfilter
   crw-------    1 root     sys        59,  0 Apr 12 08:33 /dev/ipfilter
   

   Die Ausgabe sollte nun, wie in obigem Beispiel, die Rechtemaske '600' (rw-------) zurückliefern.
4. Loggen Sie sich aus:

   # exit
   $
   

Gegenmaßnahmen
Patches zur Behebing dieser Schwachstelle werden nicht zur Verfügung gestellt. SGI empfiehlt daher die

• Installation von IRIX 6.5.11 oder einer neueren Version.

Weitere Information zu diesem Thema

• SGI Security Advisories

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/