VulDB: FreeBSD bis 6.1 UFS-Dateisystem ufs_dirbad() Denial of Service
Allgemein
scipID: 2837
Betroffen: FreeBSD bis 6.1
Veröffentlicht: 16.01.2007 (LMH)
Risiko: 
problematisch
Beschreibung
Die BSD-Betriebssysteme basieren auf Unix. Es gibt verschiedene Arten und Abkömmlinge, die sich jedoch in ihren Grundzügen stark gleichen. Im Rahmen des Month of the Apple Bugs (MOAB) wurde eine Schwachstelle entdeckt, die ebenfalls in FreeBSD nachgewiesen werden konnte. Wird ein korruptes UFS-Dateisystem eingebunden, lässt sich über die Funktion ufs_dirbad() eine Denial of Service-Attacke iniitieren. Grundlegende technische Details sind im Advisory enthalten. Dort wird ebenfalls ein proof-of-concept Exploit angeboten. Als Workaround wird empfohlen, auf das Mounten von unbekannten UFS-Dateisystemen zu verzichten.
Der Month of Apple Bugs (MOAB) bleibt nach wie vor umstritten. Zum einen wurden bisher keine besonders kritischen, aufregenden und technisch innovativen Angriffe vorgestellt. Zum anderen weigern sich die Entwickler beharrlich, den Hersteller frühzeitig über die Probleme zu informieren, so dass dieser schnellstmöglich eine Gegenmassnahme bereitstellen kann. Die Leidtragenden sind sodann schlussendlich die Benutzer, die sich mit einem offensichtlich unsicheren System, auf das sie zur Zeit keinen positiven Einfluss ausüben können, konfrontiert. Es bleibt fragwürdig, ob damit MOAB irgendjemandem wirklich nützt, ausser den Mitgliedern, die sich damit ein bisschen im Rampenlicht sonnen wollen.
Exploiting
Klasse: Denial of Service
Lokal: Ja
Remote: Indirekt
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Hersteller wurde über die Schwachstelle informiert.
Bestätigung: –
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.freebsd.org
Snort: –
Pattern: –
Quellen
Advisory: http://projects.info-pull.com/moab/MOAB-12-01-2007.html
CVE: CVE-2007-0267
OSVDB: 32686
Securityfocus: 22036
Secunia: 23721
X-Force: –
Securitytracker: –
VUPEN: ADV-2007-0171
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
