Die aktuelle Version des Proxy-Servers Squid behebt mehrere Schwachstellen, die in letzter Zeit entdeckt worden waren. Neben verschiedenen FTP- und Gopher-Problemen wird auch die jüngst bekannt gewordene Schwachstelle im MSNT-Authentifizierungsmodul behoben.

Betroffene Systeme

• Versionen vor Squid 2.4.STABLE7

Einfallstor

1. Gopher-Anfragen (gopher://) bzw. Antworten darauf
2. Anfrage von FTP-Verzeichnissen über den Proxy
3. TCP-Verbindungen zu TCP-Ports, über die ein FTP-Datenkanal läuft
4. Authentifizierung über das MSNT-Modul
5. entsprechend gestaltete Anfrage an den Proxy

Auswirkung

1. möglicherweise Ausführung beliebigen Programmcodes mit den Privilegien des squid gopher client-Prozesses
   (remote user compromise, ggf. remote root compromise, falls Squid unter der UID=root läuft)
2. möglicherweise Ausführung beliebigen Programmcodes mit den Privilegien des squid-Prozesses
   (remote user compromise, ggf. remote root compromise, falls Squid unter der UID=root läuft)
3. Manipulation von FTP-Daten in Verbindungen, die über den Proxy laufen
4. Ausführung beliebigen Programmcodes mit den Privilegien der UID des squid-Prozesses
   (remote user compromise, ggf. remote root compromise, falls Squid unter der UID=root läuft)
5. Offenbarung von Authentifizierungsdaten

Typ der Verwundbarkeit

1. buffer overflow bug
2. buffer overflow bug
3. design flaw
4. buffer overflow bug, format string bug
5. design flaw

Gefahrenpotential

1. hoch, ggf. sehr hoch
2. hoch, ggf. sehr hoch
3. mittel
4. hoch, ggf. sehr hoch
5. mittel bis hoch

Kontext
Squid ist ein populäres, freies Open-Source-WWW-Proxy- und -Cachesystem hauptsächlich für die Protokolle FTP und HTTP. Es ist für den Einsatz auf Unix-Plattformen konzipiert und wird häufig als zentrales WWW- und FTP-Gateway eingesetzt.
Unter anderem unterstützt Squid gopher, ein mittlerweile selten verwendetes Protokoll zur Suche und Übertragung von Dokumenten.

Beschreibung

1. Ein Pufferüberlauffehler des in Squid integrierten Gopher-Clients, der bei der Verarbeitung von gopher-URLs auftreten kann, kann möglicherweise von einem Angreifer mittels speziell formulierter gopher-URLs dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechner mit den Privilegien des squid gopher client-Prozesses auzuführen.
2. Ein Pufferüberlauffehler im squid proxy, der bei der Verarbeitung von FTP-Verzeichnisauflistungen auftreten kann, kann möglicherweise von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechner mit den Privilegien des squid proxy-Prozesses auzuführen.
3. Ein Design Fehler beim Proxying von FTP-Verbindungen des squid proxy kann von einem Angreifer mit Zugriff auf die Netzwerkverbindung dazu ausgenutzt werden, die übertragenen Daten zu manipulieren, Daten hinzuzufügen oder zu unterdrücken.
4. Das MSNT-Authentifizierungsmodul enthält zahlreiche sicherheitsrelevante Programmierfehler, die von Angreifern ausgenutzt werden können, um beliebigen Code auf dem Proxy-Server auszuführen. Teilweise ist für den Angriff keine erfolgreiche Authentifizierung nötig. Diese Schwachstelle ist in der RUS-CERT-Meldung#833 beschrieben.
5. Ein Design Fehler bei der Weiterleitung von Authentifizierungsdaten des squid proxy kann dazu führen, daß diese Daten (z. B. Benutzername und Paßwort) unbefugten Dritten offenbar werden.

Gegenmaßnahmen

• 1.-5. Installation von Squid 2.4.STABLE7

Weitere Information zu diesem Thema

• www.squid-cache.org
• Bugzilla: Squid-Bug 301
• Squid - A User's Guide
• RfC 1436: The Internet Gopher Protocol.

Weitere Artikel zu diesem Thema:

• [Generic/Squid] Schwachstellen im MSNT-Modul zur SMB-Authentifizierung (2002-06-05)
  Im MSNT-Authentifizierungsmodul von Stellar-X Software für den Proxy-Server Squid sind mehrere Schwachstellen entdeckt worden.
• [Generic/Squid] Mehrere Schwachstellen im Squid Proxy/Cache-Server (2002-02-25)
  In Squid wurden mehrere Sicherheitslücken entdeckt, die zu einem DoS-Angriff gegen den Server sowie möglicherweise der unberechtigten Ausführung beliebigen Programmkodes mit den Privilegien des Squid-Prozesses ausgenutzt werden können.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/