[Generic/CDE] Mehrere Schwachstellen in CDE ToolTalk
(2002-07-11 15:38:55.149407+00)
Quelle:
http://www.cert.org/advisories/CA-2002-20.htmlZwei Schwachstellen im ToolTalk-Dienst der Common Desktop Environment (CDE) ermöglichen Angreifern über eine Netzwerkverbindung bzw. über interaktiven Zugang zum System beliebigen Programmcode mit den Privilegien des ToolTalk-Dienstes (i. a. root) auszuführen.
Betroffene Systeme
- Compaq (HP) Tru64 UNIX
- CrayTools (in der Standardkonfiruration ist jedoch
rpc.ttdbserverdnicht aktiviert) - Hewlett-Packard:
- HP-UX 10.10
- HP-UX 10.20
- HP-UX 11.00
- HP-UX 11.11
- IBM:
- IBM AIX 4.3.3
- IBM AIX 5.1.0
- SGI bestätigt die Verwundbarkeit ihrer Systeme und untersucht derzeit das Thema.
- Sun Microsystems:
- Sun Solaris 2.5.1
- Sun Solaris 2.6
- Sun Solaris 7
- Sun Solaris 8
- Sun Solaris 9
- Xi Graphics deXtop CDE v2.1
Einfallstor
- RPC-Request an den
rpc.ttdbserverd-Dienst - RPC-Request an den
rpc.ttdbserverd-Dienst durch einen lokalen Benutzer nach Erzeugung spezieller symbolischer Links
Auswirkung
- Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
(remote root compromise) - Kompromittierung des beherbergenden Rechnersystems
(local root compromise)
Typ der Verwundbarkeit
- buffer overflow bug
- sym-link vulnerability
Gefahrenpotential
- sehr hoch
- hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Kontext
CDE ist eine auf dem X-Windowsystem basierende, integrierte graphisches Benutzungsschnittstelle für UNIX- und Linux-Systeme.
CDE ToolTalk ist ein Nachrichtenmaklerdienst, der die rechner- und plattformübergreifende Kommunikation von Applikationen untereinander ermöglicht. Der ToolTalk RPC database server rpc.ttdbserverd verwaltet die Kommunikation von ToolTalk-Applikationen.
Üblicherweise wird rpc.ttdbserverd mit der UID=root gestartet und legt die damit verbundenen Privilegien während der Programmlaufzeit nicht ab.
Beschreibung
- Der ToolTalk RPC database server
rpc.ttdbserverdüberprüft beim Aufruf übergebene Argumente unzureichend, so daß ein Angreifer in die Lage versetzt ist, mittels entsprechend formulierter Argumente bestimmte Speicherbereiche des beherbergenden Rechnersystems zu manipulieren. Dies kann von einem Angreifer neben anderen Möglichkeiten dazu ausgenutzt werden, über eine Netzwerkverbindung beliebigen Programmcode mit den Privilegien des ToolTalk RPC database servers auszuführen. Darpc.ttdbserverdüblicherweise die Privilegien derUID=rootbesitzt, führt dies zur Kompromittierung des beherbergenden Rechnersystems. - Der ToolTalk RPC database server
rpc.ttdbserverdüberprüft beim Aufruf als Argument übergebene Dateipfade nicht ordnungsgemäß auf das Vorhandensein symbolischer Links. Dies kann von einem Angreifer mit Zugriff auf Teile des Verzeichnisbaums (z. B. ordentliche lokale Benutzer mit Zugriff auf ihr Heimatverzeichnis) dazu ausgenutzt werden, beliebige Dateien im Verzeichnisbaum vonrpc.ttdbserverdüberschreiben zu lassen. Im Falle von vitalen Systemdateien kann dies zur Kompromittierung des beherbergenden Rechnersystems führen.
Feststellen der Verwundbarkeit
Es sind nur Systeme betroffen, die den rpc.ttdbserverd-Dienst anbieten. Der entsprechende RPC-Dienst trägt die Programmnummer 100083; RPC-Dienste auf dem lokalen System können mit dem Befehl "rpcinfo -p" angezeigt werden:
$ rpcinfo -p
program vers proto port service
[...]
100083 1 tcp 32773
[...]
$
100083 aufgeführt.
Gegenmaßnahmen
Derzeit sind noch keine Patches verfügbar.
Workaround
Abschaltung des ToolTalk RPC database servers rpc.ttdbserverd
Dies kann durch das Auskommentieren der entsprechenden Zeile in der Datei /etc/inetd.conf geschehen. Dazu muß die Zeile
durch100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd
ersetzt werden. Nach dieser Maßnahme ist ein Neustart des#100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd
inetd mit dem Kommando 'kill -HUP PID_von_inetd' erforderlich, wobei die die PID folgendermaßen ermittelt werden kann: (im Beispiel ist die PID=323): das folgende Kommando startet# ps -ef | grep inetd root 323 1 0 Mar 09 ? 1:36 /usr/sbin/inetd -s rustler 14180 13502 0 15:29:28 pts/15 0:00 grep inetd #
inetd neu: Ferner muß geprüft werden, ob der# kill -HUP 323 #
rpc.ttdbserverd-Dienst läuft:
# ps -ef | grep ttdbserv
root 9731 323 0 21:43:32 ? 0:00 rpc.ttdbserverd
#
kill -9 PID_von_rpc.ttdbserverd" der Prozeß beendet werden, also in diesem Beispiel: # kill -9 9731 #
Vulnerability ID
- VU#975403 (CERT/CC)
CAN-2002-0677 (CVE) - VU#299816 (CERT/CC)
CAN-2002-0678 (CVE)
Weitere Information zu diesem Thema
Weitere Artikel zu diesem Thema:
- [Generic/CDE] Wieder Schwachstelle im ToolTalk-Server (2002-08-20)
Im ToolTalk-RPC-Dienst, der von vielen komerziellen UNIX-Versionen im Rahmen von CDE ausgeliefert wird und per Voreinstellung aktiviert ist, wurde eine weitere Schwachstelle gefunden. - [Generic/CDE] Schwachstelle im CDE Subprocess Control Service dtspcd (Patchinformation aktualisiert) (2001-11-13)
In einer dynamischen Bibliotheksfunktion, die der Common Desktop Environment (CDE) Subprocess Control Servicedtspcdverwendet, existiert ein buffer overflow bug, der von einem Angreifer über das Netz dazu ausgenutzt werden kann, beliebigen Programmcode mit derUID=rootauszuführen. - [Generic/CDE] Schwachstelle im ToolTalk-RPC-Dienst (2001-10-08)
Im ToolTalk-RPC-Dienst, der von vielen komerziellen UNIX-Versionen im Rahmen von CDE ausgeliefert wird und per Voreinstellung aktiviert ist, wurde eine weitere Schwachstelle gefunden.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=880