Das RUS-CERT hat ein Werkzeug entwickelt, mit dem sich Systeme ermitteln lassen, die verwundbare OpenSSL-Bibliotheken einsetzen.

Betroffene Systeme

• Systeme, die OpenSSL verwenden.

Einfallstor
SSLv2-Anfragen über ein beliebiges Transportprotokoll (z.B. TCP). In der Regel sind folgende TCP-Ports involviert:

Protokoll	TCP-Port
HTTPS	443
SMTPS	465
NNTPS	563
IMAP4SSL	585
LDAPS	636
FTPS	990
TELNETS	992
IMAPS	993
POP3S	995
GIOP-SSL (Oracle)	2482
TTC-SSL (Oracle)	2484

Protokoll	TCP-Port
SMTP	25
POP3	110
NNTP	119
IMAP	143

Auswirkung
Es zirkuliert mittlerweile Exploit-Code für eine Schwachstelle in OpenSSL. Bei erfolgreichen Angriffen ist mit Kompromittierung des Systems (bzw. eines Systemaccounts) zu rechnen. (Die Bedrohung ist nicht allein beim sich Nach und Nach ausbreitenden Wurm zu sehen.)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch bis sehr hoch (je nach Dienst)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine seit Ende Juli öffentlich bekannte Schwachstelle in OpenSSL wird in Zukunft wahrscheinlich verstärkt für Angriffe genutzt werden (wobei hier nicht nur das Risiko durch den Wurm "Slapper" besteht).

Da es immer wieder vorkommt, daß Systeme aus verschiedenen Gründen nicht gepatcht werden, ist solch ein Werkzeug unerläßlich, wenn man zuverlässig alle verwundbare Server erkennen patchen möchte. Unabsichtlich erschwerten die OpenSSL-Entwickler die Ermittlung von verwundbaren Versionen über das Netzwerk, denn auch die gegen die kritische Schwachstelle gepatchte OpenSSL-Version 0.9.6e stürzt bei Angriffen ab -- wenn auch kontrolliert. Das RUS-CERT hat jedoch ein Verfahren entwickelt, welches ermöglicht, Systeme, die einen zur Version 0.9.6e äquivalenten Hersteller-Patch (der häufig die Versionsnummer bei 0.9.6b oder 0.9.6c beläßt) einsetzen, von solchen, die wirklich verwundbar sind, zu unterscheiden.

Maßnahmen
Kompilieren Sie das unter

• http://cert.uni-stuttgart.de/advisories/openssl-sslv2-master/

Es empfiehlt sich, größere Netze zunächst mit nmap zu scannen und die Tests auf die tatsächlich antwortenden Hosts zu beschränken. Das Werkzeug kann auf GNU-Systemen mit "xargs -P" in einen Parallel-Modus versetzt werden, so daß die Tests schneller ablaufen.

Für die Universität Stuttgart führt das RUS-CERT die Suche nach verwundbaren Systemen durch und berät Administratoren beim Aktualisieren verwundbarer Systeme.

Vulnerability ID

• CAN-2002-0656

Weitere Artikel zu diesem Thema:

• [MS/OpenSSL] Schwachstelle in OpenSSL 0.9.6k unter Microsoft Windows (2003-11-05)
  In der erst kürzlich zur Behebung von diversen Problemen veröffentlichten Version OpenSSL 0.9.6k ist eine weitere Schwachstelle entdeckt worden, die dazu ausgenutzt werden kann, den OpenSSL-Dienst unter Microsoft Windows in einen unbenutzbaren Zustand zu bringen.
• [Generic/OpenSSL] Mehrere Schwachstellen in OpenSSL (2003-10-03)
  Eine Schwachstelle in den OpenSSL-Bibliotheken ermöglicht einem Angreifer die Ausführung beliebigen Programmcodes mit den Privilegien des benutzenden Prozesses, zwei weitere Schwachstellen können dazu führen, daß das SSL-System in einen unbenutzbaren Zustand gerät.
• [Generic/OpenSSL] Wurm nutzt Schwachstellen in OpenSSL aus (2002-09-14)
  Es kursiert ein Wurm, der eine Schwachstelle in mod_ssl/OpenSSL zur Verbreitung ausnutzt.
• [Generic/OpenSSL] Korrektur für SSL-Schwachstellen fehlerhaft (2002-08-09)
  Auch mit den Korrekturen für die SSL-Schwachstellen erlaubt OpenSSL 0.9.6e immer noch Denial of Service-Angriffe.
• [Generic/OpenSSL] Fehler im Server- und Client-Code für SSL 2 und 3 (2002-07-30)
  In OpenSSL sind mehrere Schwachstellen im Programmcode zur Verarbeitung von SSL-Verbindungen (sowohl auf Client- als auch auf Server-Seite) entdeckt worden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/