Erneut sind kritische Schwachstellen in SNMP-Komponenten in Solaris entdeckt worden, die in der Standardinstallation aktiviert sind.

Betroffene Systeme

• Solaris 8
• Solaris 8 für x86-Plattformen
• Solaris 7
• Solaris 7 für x86-Plattformen
• Solaris 2.6
• Solaris 2.6 für x86-Plattformen

Einfallstor
Senden speziell formatierter SNMP-Pakete an Port 161/UDP

Auswirkung
Kompromittierung des beherbergenden Rechnersystems
(remote root compromise)

Typ der Verwundbarkeit
buffer overflow bug und format string bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
SNMP (Simple Network Management Protocol) ist ein Standardprotokoll zur Administration von Netzwerkgeräten (devices) über Netzwerkverbindungen.

Der Sun Solstice Enterprise Master Agent snmpdx ist die Hauptkomponente der Sun Solstice Enterprise Agent-Technologie zur Verwaltung von Netzwerken. Er wird in der Solaris-Standardkonfiguration durch das init-Skript /etc/init.d/snmpdx als Daemon mit root-Rechten gestartet. snmpdx erwartet SNMP-Anfragen auf Port 161/udp und öffnet einen weiteren Port, um SNMP trap notifications verschiedener Subagenten zu empfangen. Diese werden nach Empfang mit Hilfe des Dämons mibiisa an verschiedene Dienste der Solstice Suite weitergeleitet.

Beschreibung
In den Routinen zur Verarbeitung von SNMP-Anfragen des Sun Solstice Enterprise Master Agent snmpdx wurde ein format string bug entdeckt, in zu demselben Produkt gehörenden Daemon mibiisa eine Pufferüberlaufschwachstelle. Beide Schwachstellen können von einem Angreifer über eine Netzwerkverbindung dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des snmpdx-Prozesses auszuführen. In der Standardkonfiguration von Solaris wird snmpdx mit root-Rechten gestartet. Ein erfolgreicher Angriff führt daher zur Kompromittierung des beherbergenden Rechnersystems.

Workaround
Auf Systemen, die die Solstice Enterprise Suite nicht benötigen, können snmpdx und mibiisa dauerhaft abgeschaltet werden.

1. Loggen Sie sich als Superuser (root) ein:

   $ su
   Password:
   #
   

   Stoppen Sie einen eventuell laufenden snmpdx

   # /etc/init.d/snmpdx stop
   

2. Kopieren Sie das Skript /etc/init.d/snmpdx nach /etc/init.d/snmpdx.orig und stellen Sie sicher, daß diese Kopie nicht versehentlich ausgeführt werden kann

   # cp  /etc/init.d/snmpdx /etc/init.d/snmpdx.orig
   # chmod 400 /etc/init.d/snmpdx.orig
   

3. Editieren Sie mittes vi das Skript /etc/init.d/snmpdx.

   # vi /etc/init.d/snmpdx
   

   Achtung! Verwenden Sie für diese Arbeit keinen anderen Editor. Ein anderer Editor könnte unter Umständen das Beziehungsgeflecht, das durch harte Links im INIT-Mechanismus etabliert ist, zerstören.

4. Löschen Sie alle Zeilen (mit dem vi-Kommando dG) und fügen Sie folgenden, neuen Inhalt ein (das vi-Kommando i schaltet um in den Insert-Modus):

   #!/sbin/sh
   # Init-Skript: /etc/init.d/snmpdx
   # Dieses Skript verhindert, dass der  
   # Sun Solstice Enterprise Master Agent snmpdx gestartet wird.
   # Grund: snmpdx ist verwundbar gegen Angriffe ueber das Netz:
   # http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=838
   # Falls snmpdx dennoch gestartet, oder diese 
   # Masznahme rueckgaengig gemacht werden soll, ersetzen Sie den 
   # Inhalt dieses Skriptes durch den der Datei /etc/init.d/snmpdx.orig
   echo snmpdx not started.
   echo to restore snmpdx please read /etc/init.d/snmpdx
   

   Beenden Sie den Insert-Modus, indem Sie die <ESC>-Taste drücken. Schreiben Sie die Datei und verlassen Sie den Editor mit dem vi-Kommando :wq!

Gegenmaßnahmen
Sun stellt folgende Patches zur Behebung dieser Schwachstelle bereit (es handelt sich dabei um Revisionen von bestehenden Patches für Schwachstellen in denselben Systemkomponenten):

Betriebssystem	PatchID
Solaris 8/SPARC	108869-16
Solaris 8/x86	108870-16
Solaris 7/SPARC	107709-19
Solaris 7/x86	107710-19
Solaris 2.6/SPARC	106787-18
Solaris 2.6/x86	106872-18

Weitere Informationen zu diesem Thema

• Entercept Security Alert: SEA SNMP - Buffer Overflow and Format String Vulnerabilities in Sun Solaris

Weitere Artikel zu diesem Thema:

• [Sun/Solaris] Schwachstelle im Sun Solstice Enterprise Master Agent snmpdx (2002-02-13)
  Ein Pufferüberlauffehler im Sun Solstice Enterprise Master Agent snmpdx kann von einem Angreifer über eine Netzwerkverbindung dazu ausgenutzt werden, auf dem beherbergenden Rechnersystem root-Rechte zu erlangen.
• [Generic/SNMP] Mehrere verbreitete Schwachstellen in SNMP-Implementierungen (2002-02-12)
  In zahlreichen SNMP-Implementierungen wurden nach systematischen Tests Fehler gefunden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/