RUS-CERT-928 – Archivierte Meldung

Meldung Nr: RUS-CERT-928

[Generic/CDE] Wieder Schwachstelle im ToolTalk-Server
(2002-08-20 09:26:45.667313+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/08/msg00180.html

Im ToolTalk-RPC-Dienst, der von vielen komerziellen UNIX-Versionen im Rahmen von CDE ausgeliefert wird und per Voreinstellung aktiviert ist, wurde eine weitere Schwachstelle gefunden.

Betroffene Systeme

Systeme, die CDE und ToolTalk verwenden (dies schließt die meisten proprietären UNIX-Hersteller ein)

Einfallstor
RPC-Request an den rpc.ttdbserverd-Dienst

Auswirkung
Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
(remote root compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
CDE ist eine auf dem X-Window-System basierende, integrierte graphische Benutzungsoberfläche für UNIX- und Linux-Systeme.

CDE ToolTalk ist ein Nachrichtenmaklerdienst, der die rechner- und plattformübergreifende Kommunikation von Applikationen untereinander ermöglicht. Der ToolTalk RPC database server rpc.ttdbserverd verwaltet die Kommunikation von ToolTalk-Applikationen.

Üblicherweise wird rpc.ttdbserverd mit der UID=root gestartet und legt die damit verbundenen Privilegien während der Programmlaufzeit nicht ab.

Beschreibung
Der ToolTalk RPC database server rpc.ttdbserverd überprüft beim Aufruf übergebene Argumente unzureichend, so daß ein Angreifer in die Lage versetzt ist, mittels entsprechend formulierter Argumente bestimmte Speicherbereiche des beherbergenden Rechnersystems zu manipulieren. Dies kann von einem Angreifer neben anderem dazu ausgenutzt werden, über eine Netzwerkverbindung beliebigen Programmcode mit den Privilegien des ToolTalk RPC database servers auszuführen. Da rpc.ttdbserverd üblicherweise die Privilegien der UID=root besitzt, führt dies zur Kompromittierung des beherbergenden Rechnersystems.

Die Tatsache, daß das RUS-CERT erst vor gut einem Moment eine gleichlautende Mitteilung zu einer anderen Schwachstelle in rpc.ttdbserverd veröffentlicht, unterstreicht nochmals die Risiken, die mit dem Betrieb dieses RPC-Dienstes verbunden sind. Ein grundsätzliches Abschalten dieses Dienstes ist daher empfehlenswert.

Feststellen der Verwundbarkeit
Es sind nur Systeme betroffen, die den rpc.ttdbserverd-Dienst anbieten. Der entsprechende RPC-Dienst trägt die Programmnummer 100083; RPC-Dienste auf dem lokalen System können mit dem Befehl "rpcinfo -p" angezeigt werden:

$ rpcinfo -p
   program vers proto   port  service
    [...]
    100083    1   tcp   32773    
    [...]
$

Auf einem betroffenen System wird - wie im Beispiel - der RPC-Dienst 100083 aufgeführt.

Workaround
Die Abschaltung des ToolTalk RPC database servers rpc.ttdbserverd wird grundsätzlich empfohlen.

Dies kann durch das Auskommentieren der entsprechenden Zeile in der Datei /etc/inetd.conf geschehen. Dazu muß die Zeile

100083/1     tli   rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd

durch

#100083/1     tli   rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd

ersetzt werden. Nach dieser Maßnahme ist ein Neustart des inetd mit dem Kommando 'kill -HUP PID_von_inetd' erforderlich, wobei die die PID folgendermaßen ermittelt werden kann: (im Beispiel ist die PID=323):

# ps -ef | grep inetd
   root    323     1  0   Mar 09 ?        1:36 /usr/sbin/inetd -s
   rustler 14180 13502  0 15:29:28 pts/15   0:00 grep inetd
#

das folgende Kommando startet inetd neu:

# kill -HUP 323
#

Ferner muß geprüft werden, ob der rpc.ttdbserverd-Dienst läuft:

# ps -ef | grep ttdbserv
      root   9731   323  0 21:43:32 ?        0:00 rpc.ttdbserverd
#

Falls das der Fall ist, sollte mit "kill -9 PID_von_rpc.ttdbserverd" der Prozeß beendet werden, also in diesem Beispiel:

# kill -9 9731
#

Gegenmaßnahmen
Einige Hersteller bieten bereits Notfall-Patches an:

Weitere Hersteller stellen reguläre Patches zur Verfügung:

Caldera Open UNIX und Caldera UnixWare

Achtung: In kürze erscheinende Hersteller-Patches beheben möglicherweise nicht diese, sondern eine ältere Schwachstelle.

Vulnerability ID

Weitere Information zu diesem Thema

CERT/CC Advisory CA-2002-26

(og)

Weitere Artikel zu diesem Thema:

[Generic/CDE] Mehrere Schwachstellen in CDE ToolTalk (2002-07-11)
Zwei Schwachstellen im ToolTalk-Dienst der Common Desktop Environment (CDE) ermöglichen Angreifern über eine Netzwerkverbindung bzw. über interaktiven Zugang zum System beliebigen Programmcode mit den Privilegien des ToolTalk-Dienstes (i. a. root) auszuführen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=928