RUS CERT IT Sicherheit

Deutschsprachige IT Sicherheitsmeldungen des RUS CERT (Computer Emergency Response Team des Rechenzentrums der Universität Stuttgart).

Security News Artikel #1641

Zurück zur Übersicht

Meldung Nr: RUS-CERT-1641

[Generic/bzip2] Schwachstelle in libzip2
(2010-09-22 16:21:01.758886+00)

Quelle: http://www.bzip.org/downloads.html

Eine Pufferüberlaufschwachstelle in der von vielen Anwendungen genutzten freien Kompressionsbibliothek libbzip2 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherberegenden System auszuführen. Die neue Version 1.0.6 behebt diese Schwachstelle und es wird empfohlen, diese so rasch wie möglich zu installieren. Anwendungen, die entsprechenden Code von libbzip2 fest eingebaut haben, müssen ebenfalls aktualisiert werden.

Inhalt

Zusammenfassung

  • CVE-2010-0405:
    Betroffen: libbzip2 vor Version 1.0.6
    Nicht betroffen: libbzip2 1.0.6
    Plattform: Unixoide Betriebssysteme
    Microsoft Windows
    Einfallstor: komprimierte Daten
    Angriffsvoraussetzung:Netzwerk
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch bis sehr hoch
    Workaround: sehr bedingt
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2010-0405

Betroffene Systeme

  • Die Funktion BZ2_decompress in decompress.c in bzip2 sowie libbzip2 der Versionen vor 1.0.6

Nicht betroffene Systeme

  • bzip2 1.0.6
  • libbzip2 1.0.6

Plattform

Einfallstor

  • Komprimierte Daten, die auf einem betroffenen System dekomprimiert werden.

Angriffsvoraussetzung

  • Zugriff auf ein Netzwerk, über das entsprechende Daten an ein betroffenes System geschickt werden können. Dies kann z.B. auch per E-Mail oder über eine Webseite erfolgen
    (network)

Angriffsvektorklasse

  • Über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Ausführung beliebigen Programmcodes auf dem beherbergenden System
    (user compromise)
    Hier ist anzumerken, dass zahlreiche Anwendungen, die die Kompressionsbibliotheken nutzen, mit administrativen Privilegien ausgestattet werden können oder müssen. In diesem Fall führt die erfolgreiche Ausnutzung der Schwachstelle direkt zur Systemkompromittierung.

Typ der Verwundbarkeit

  • Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • hoch bis sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Pufferüberlaufschwachstelle in der Funktion BZ2_decompress in decompress.c Kompressionsbibliothek libbzip2 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des des diese Funktion aufrufenden Prozesses ausgeführt. Sofern dieser Prozess administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Da die Bibliothek von zahlreichen Anwendungen genutzt werden, die z.T. im Betrieb mit administrativen Privilegien ausgestattet sind, vervielfachen sich die möglichen Angriffspunkte. Insbesondere Sicherheitsanwendungen, wie z.B. die freie Malwarescannersoftware ClamAV, verwenden die betroffenen Routinen, um komprimierte Daten auf Malware zu untersuchen.

Besonderes Augenmerk sollte auch Anwendungen zuteil werden, die die Bibliothek libbzip2 nicht dynamisch einbinden (also die Systeminstallation der Bibliothek verwenden) sondern die benötigten Funktionen im eigenen Code mitbringen. Diese bleiben auch nach einer Aktualisierung der libbzip2-Installation des beherbergenden Betriebssystems verwundbar.

Die Bibliothek ist auch unter Microsoft Windows verfügbar und wird dort meist als Dynamic Link Library eingesetzt.

Workaround

  • Als Workaround kann nur die Vermeidung der Benutzung der verwundbaren Funktionen angewendet werden. Z.T. kann dies durch die temporäre Umbenennung der entsprechenden Bibliothek erfolgen, wobei hier mit schwer vorhersehbaren Nebeneffekten zu rechnen ist. Diese Maßnahme kann jedoch nur Angriffe auf Anwendungen verhindern, die die Bibliothek dynamisch einbinden. Anwendungen, die die entsprechenden Funktionen im eigenen Code mitbringen, können weiterhin angegriffen werden.

Gegenmaßnahmen

  • Installation von bzip2 1.0.6
  • Installation entsprechender Updates der verschiedenen Distributoren
  • Installation aktualisierter Versionen von Anwendungen, die entsprechend verwundbaren Code enthalte, z.B. ClamAV 0.96.3

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/


http://cert.uni-stuttgart.de/ticker/article.php?mid=1641
 

Scannen Sie den Barcode um die Webseite zu öffnen


Quelle: http://www.trinler.net/de/news/it/cert/1641
Gedruckt am: 25.04.2017 20:26 GMT+0200 (2017-04-25T20:26:20+02:00)