MSI Endanwender-Forum

News und Sonderforen => Foruminformationen => Thema gestartet von: Xela am 08. Dezember 2003, 23:13:12

Titel: Pufferüberlaufschwachstelle im rsync-Server
Beitrag von: Xela am 08. Dezember 2003, 23:13:12
> Der rsync-Daemon weist vor Version 2.5.7 eine
> Pufferüberlaufschwachstelle auf, durch die beliebiger Programmcode mit
> den Privilegien des rsync-Daemon auf dem beherbergenden Rechnersystem
> ausgeführt werden kann. Diese Schwachstelle wird bereits aktiv
> ausgenutzt.
>
> Betroffene Systeme
> * rsync Version 2.5.6 und früher
>
> Nicht betroffene Systeme
> * rsync Version 2.5.7
> * Systeme, die mit entsprechenden Vendor-Patches zur Behebung der
> Schwachstelle versehen sind, die aber i.d.R. nicht die
> Versionsnummer ändern.
>
> Einfallstor
> Pakete an den rsync-Daemon (TCP-Port 873)
>
> Auswirkung
> Ausführung beliebigen Programmcodes mit den Privilegien des
> rsync-Daemon (i.d.R. sind dies nicht root-Rechte)
>
> Typ der Verwundbarkeit
> buffer overflow bug
>
> Gefahrenpotential
> hoch
> (Hinweise zur [1]Einstufung des Gefahrenpotentials.)
>
> Beschreibung
> Der rsync-Daemon weist vor Version 2.5.7 eine
> Pufferüberlaufschwachstelle auf, durch die Angreifer über eine
> Netzwerkverbindung beliebigen Programmcode mit den Privilegien des
> rsync-Daemon auf dem beherbergenden Rechnersystem ausführen können.
> Der rsync-Daemon wird üblicherweise nicht mit root-Privilegien
> ausgeführt. Durch Kombination z.B. mit der jüngst bekanntgewordenen
> [2]Schwachstelle im sys_brk() Systemaufruf des 2.4 Linux-Kernel (die
> eine lokale Privilegienerweiterung ermöglicht) ist eine
> Systemkompromittierung möglich und wird Berichten zufolge bereits
> aktiv ausgenutzt.
>
> Feststellen der Verwundbarkeit
> Von der rsync-Schwachstelle sind lediglich rsync-Server betroffen. Sie
> können ggf. durch
>
> netstat -an|grep :873
>
> überprüfen, ob auf TCP-Port 873 ein Dienst lauscht.
>
> Gegenmaßnahmen
> Update auf rsync Version 2.5.7
> * [3]http://samba.org/ftp/rsync/
>
> bzw. Installation der Vendor-Patches:
> * [4]Debian
> * [5]SuSE
> * [6]RedHat
> * [7]Mandrake
> * [8]OpenBSD
>
> Vulnerability ID
> * [9]CAN-2003-0962
>
> Weitere Information zu diesem Thema
> * [10]http://samba.anu.edu.au/rsync/index.html
> * [11]UNIRAS Brief - 660/03 - rsync 2.5.6. security advisory
>