[Generic/Sun Java Web Proxy Server] Pufferueberlaufschwachstellen im Sun Java System Proxy Server
RUS-CERT (Oliver Goebel)
Sun Java System Proxy Server
(2007-05-31 12:03:15.992915+02)
Quelle: http://labs.idefense.com/intelligence/vulnerabilities/display.
php?id=536
Mehrere Pufferüberlaufschwachstellen im SOCKS-Proxy des SUN JAVA
System Web Proxy können von Angreifern dazu ausgenutzt werden, über
eine Netzwerkverbindung unauthentifiziert beliebigen Programmcode mit
root-Rechten auf dem beherbergenden Rechnersystem auszuführen.
Betroffene Systeme
* Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für
SPARC Solaris
* Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für
x86 Solaris
* Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für
Linux
* Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für
Windows
* Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für
HP-UX
* Sun Java System Web Proxy Server 4.0.4 oder frühere Versionen für
AIX
Nicht betroffene Systeme
* Sun Java System Web Proxy Server 4.0.5
* Systeme, die mit entsprechenden Vendor-Patches zur Behebung der
Schwachstelle versehen sind, die aber i.d.R. nicht die
Versionsnummer ändern.
Einfallstor
SOCKS-Session zu einem verwundbaren SUN JAVA Web Proxy Server
Angriffsvoraussetzungen
Netzwerkverbindung zu einem verwundbaren System
(remote)
Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden
Rechnersystem mit root-Privilegien
(system compromise)
Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)
Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)
Kontext
Der [2]Sun Java System Web Proxy Server 4.0 ist ein kostenloses
[3]Proxy-System der [4]Sun Microsystems Inc. und Teil des Sun Solaris
Enterprise System. Neben Web-Proxy-Funktionalität, URL-Filterung und
LDAP-Unterstützung beinhaltet er auch einen [5]SOCKS-Proxy. Der Sun
Java System Web Proxy Server ist für Solaris-, Linux- und
Windows-Plattformen verfügbar.
SOCKS-Proxies werden meist eingesetzt, um hinter einer Firewall
stehenden Rechnersystemen den kontrollierten Netzverkehr mittels
beliebiger Protokolle zu und von externen Rechnersystemen zu
ermöglichen. Dadurch, dass alle Verbindungen über das Proxy-System
aufgebaut und unterhalten werden müssen, kann erwünschter Verkehr
kontrolliert ermöglicht werden, ohne die Schutzwirkung der Firewall
durch Ausnahmeregeln schwächen zu müssen. Einem solchen Proxy-System
und dessen Sicherheit kommt so in einer entsprechend konfigurierten
IT-Infrastruktur zentrale Bedeutung zu.
Beschreibung
Mehrere Pufferüberlaufschwachstellen im SOCKS-Proxy-[6]Daemon sockd
des Sun Java System Web Proxy Server 4.0.4 können von einem Angreifer
dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien
des sockd auf dem beherbergenden Rechnersystem auszuführen. Da dies im
Allgemeinen root-Privilegien sind, führt eine erfolgreiche Ausnutzung
der Schwachstelle zur Kompromittierung des beherbergenden
Rechnersystems.
Die Schwachstelle betrifft den Sun Java System Web Proxy Server 4.0.4
oder frühere Versionen unter Solaris-Betriebssystemen für SPARC- und
x86-Architekturen, Linux, Windows-Betriebssystemen sowie den
Unix-Derivaten HP-UX und AIX.
Um die Schwachstelle erfolgreich auszunutzen, muss der Angreifer
lediglich in der Lage sein, eine SOCKS-Session zu einem verwundbaren
System über eine Netzwerkverbindung aufzubauen. Weitere
Angriffsvoraussetzungen, insbesondere Authentifizierungsdaten, sind
nicht erforderlich.
Nachdem in der voreingestellten Konfiguration sockd durch einen
[7]Watchdog-Prozess überwacht wird, der den Daemon wieder startet,
wenn er abgestürzt ist, kann sich ein Angreifer u.U. auch Fehlschläge
beim Ausnutzen der Schwachstelle leisten ohne sein Ziel dauerhaft
außer Funktion zu setzen.
Workaround
* Abschaltung des sockd
* Schutz des Proxysystems vor Zugriffen von nicht vertrauenswürdigen
Systemen, beispielsweise durch Einsatz einer Firewall.
Hierbei ist zu beachten, dass in mehrschrittigen Angriffsszenarien
auch als vertauenswürdig eingestufte Systeme (beispielsweise
infizierte Arbeitsplatzsysteme ohne besondere Privilegien im Netz)
missbraucht werden können, um ein zentrales Proxysystem
anzugreifen und so Kontrolle über die von diesem System
vermittelten Netzwerkverbindungen zu erlangen.
Diese Maßnahmen beseitigen die Schwachstelle nicht, können jedoch dazu
beitragen, die Anzahl der Systeme bzw. IP-Adressen einzuschränken, die
einen erfolgversprechenden Angriff durchführen können.
Gegenmaßnahmen
* Installation des [8]Sun Java System Web Proxy Server 4.0.5
Vulnerability ID
* [9]CVE-2007-2881
Weitere Information zu diesem Thema
* [10]SUN Alert ID 102927
Revisionen dieser Meldung
* V 1.0 (2007-05-31)
* V 1.1 (2007-06-04):
+ [11]CVE-Name [12]hinzugefügt
+ [13]Gegenmaßnahmen hinzugefügt
Aktuelle Version dieses Artikels
[14]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1377
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2007 RUS-CERT, Universität Stuttgart,
[15]http://CERT.Uni-Stuttgart.DE/
References
1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://www.sun.com/software/products/web_proxy/home_web_proxy.xml
3. http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29
4. http://www.sun.com/
5. http://de.wikipedia.org/wiki/SOCKS
6. http://de.wikipedia.org/wiki/Daemon
7. http://de.wikipedia.org/wiki/Watchdog
8. http://www.sun.com/download/products.xml?id=4648dc96
9. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2881
10. http://sunsolve.sun.com/search/document.do?assetkey=1-26-102927-1
11. http://cert.uni-stuttgart.de/ticker/cve.php
12. http://CERT.Uni-Stuttgart.DE/ticker/article-bare.php?mid=1377#vulnerability-id
13. http://CERT.Uni-Stuttgart.DE/ticker/article-bare.php?mid=1377#countermeasures
14. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1377
15. http://CERT.Uni-Stuttgart.DE/
----------------------------------------------------------------------
Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Aut...@Lists.CERT.Uni-Stuttgart.DE