RUS-CERT-948 – Archivierte Meldung

Meldung Nr: RUS-CERT-948

[Generic/Python] Schwachstelle in os._execvpe
(2002-09-02 20:11:12.573059+00)

Quelle: http://sourceforge.net/tracker/index.php?func=detail&aid=590294&group_id=5470&atid=305470

Aufgrund einer race condition führen Python-Programme unter Umständen beliebige, in /tmp abgelegte Programme aus.

Betroffene Systeme

Systeme, die Python 2.1 oder 2.2 verwenden.

Python 1.5.2 ist von der Schwachstelle nicht betroffen.

Einfallstor
lokaler Account

Auswirkung
Angreifer können beliebige Programme mit den Rechten eines anderen Accounts ausführen.

Typ der Verwundbarkeit
/tmp race condition

Gefahrenpotential
mittel bis hoch (je nach den auf dem System eingesetzten Python-Programmen)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Hilfsfunktion _execvpe im Python-Standardmodul os führt eine Datei mit dem Namen /tmp/@PID.NUMMER aus, um die Fehlermeldung zu ermitteln, die das Betriebssystem liefert, falls ein nicht vorhandenes Programm aufgerufen wird. Auch wenn vorher geprüft wird, daß die Datei nicht existiert, existiert ein kleines Zeitfenster, in dem ein Angreifer die Datei anlegen kann, die anschließend von Python aufgerufen wird.

Damit diese Schwachstelle für einen lokalen Angreifer ausnutzbar wird, müssen auf dem System Python-Programme verwendet werden, die nicht vorhandene Programme aufrufen.

Gegenmaßnahmen

Im Python-CVS-Repository ist mittlerweile eine zweite Version eines Patches verfügbar. (Die erste Version wertete die globale errno-Variable aus und nicht die Fehlernummer, die in der erhobenen Ausnahme enthalten ist. Dies führt zu einem fehlerhaften, aber nicht sicherheitsrelevanten Verhalten der Routine.)

Revisionen dieser Mitteilung

V.1.0 (2002-09-02)
V.1.1 (2002-09-11) Erster Patch ist fehlerhaft.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=948