Durch einen Fehler bei der Verarbeitung von Batch-Anfragen an das Network Queuing System (NQS) kann ein lokaler Benutzer durch arglistige Namenswahl beim Einspielen eines Programmablaufs root-Privilegien erlangen.

Betroffene Systeme

• Alle Versionen des UNIX Cray Operating Systems mit aktiviertem NQSD
• Vermutlich ebenso andere Systeme mit NQSD

Einfallstor
Batch-Verarbeitungsauftrag

Auswirkung
Kompromittierung des beherbergenden Rechners
(local root compromise)

Typ der Verwundbarkeit
format string bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der NQS-Daemon ist Teil des NQE (Network Queuing Environment), welches zur Verarbeitung von sog. Batch-Jobs (Programme, die einem vorgefertigten Ablauf ohne Interaktionsmöglichkeit des Benutzers Folgen) auf vielen Großrechnern eingesetzt wird. Dabei werden diese Batch-Jobs vom NQSD entgegengenommen und zur Verarbeitung aufgerufen.
Dieser Daemon besitzt üblicherweise root-Rechte, um gewisse Funktionen wahrnemen zu können.
Wenn mit Hilfe des qsub-Kommandos eine Datei für die Batch-Verarbeitung übergeben wird, übernimmt der NQSD den Namen der Datei ohne Sicherheitsüberprüfung. Dabei wird der Name der Datei mittels des fgets()-Aufrufs eingeladen. Nun werden eventuell vorhandene \x00-Zeichen nicht mehr als Ende eines Strings interpretiert und somit wird der gesamte String in den Speicher übergeben. Durch arglistige Nameswahl für diese Datei ist es möglich, beliebigen Code im NSQD-Kontext auszuführen, der dann wiederum zu einer Kompromittierung des beherbergenden Rechnersystems führen kann.

Gegenmaßnahmen

• Bisher liegt noch keine Reaktion von CRAY vor.

Workaround

• Ein möglicher Workaround kann darin bestehen, die Ausführung von qsub auf dem eigentlichem Server zu verbieten und eine Einlieferung von Batch-Jobs nur noch von über das Netzwerk angeschlossene Stationen zuzulassen. Dabei sollte aber trotzdem zur Sicherung eine Überprüfung des Dateinamens auf unzulässige Zeichen erfolgen.

Weitere Information zu diesem Thema

• Eine genauere Beschreibung zur Technik eines solchen Format String Attack finet man auch in der Mail von Seunghyn Seo an die Liste Bugtraq.

Weitere Artikel zu diesem Thema:

• [SGI/NQE] Schwachstelle im Network Queuing System (NQS) (2002-01-09)
  SGI verifiziert die am 2001-11-29 gemeldete Schwachstelle im NQS auch für das von ihnen vertriebene NQS-Produkt als über eine Netzwerkverbindung zur Kompromittierung des beherbergenden Systems ausnutzbar (remote root exploitable). Da allerdings das Produkt als veraltet eingestuft wurde, wird SGI keine Patches mehr zur Verfügung stellen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/