Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-334

[Generic/INN] Buffer overflow bug im innfeed-Kommando
(2001-04-24 07:27:27+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/04/msg00335.html

Bei der Verarbeitung der Kommandozeilen-Parameter durch innfeed, ein Hilfsprogramm des Newsservers INN, kann ein Pufferüberlauf auftreten.

Betroffene Systeme

Typ der Verwundbarkeit
buffer overflow bug

Beschreibung
Durch einen buffer overflow bug in der Verarbeitung der Kommandozeilen-Parameter durch innfeed kann ein lokaler Nutzer Rechte mit der UID=news sowie der GID=news erlangen. Mit diesen Rechten sind Angriffe denkbar, die zur Erlangung weiterer Privilegien führen können. (z.B. uucp und auch root).

Gefahrenpotential
mittel bis hoch (mittelbarer local root exploit unter Umständen möglich)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen

Wegen anderer (nicht sicherheitsrelevanter) Probleme ist dieser Schritt jedoch nicht uneingeschränkt zu empfehlen.

Workaround

Aufgrund diverser Eigenschaften von INN und Netnews ist es generell empfehlenswert, auf dem Newsserver keine nicht vertrauenswürdigen lokalen Benutzer zuzulassen.

Weitere Information zu diesem Thema

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=334