scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: thttpd 2.20b bis 2.23b1 defang() Pufferüberlauf

Allgemein

scipID: 352
Betroffen: thttpd 2.21 bis 2.23b1
Veröffentlicht: 27.10.2003 (Joel Soderberg und Christer Oberg, Texonet)
Risiko: kritisch

Beschreibung

thttpd steht für Tiny/Turbo/Throttling Hypertext Transfer Procol Daemon und ist ein auf Unix-Systemen (z.B. FreeBSD, Solaris, BSD/OS, Linux und OSF) gern genutzte Webserver-Implementierung. Joel Soderberg und Christer Oberg von Texonet publizierten unter anderem auf der Sicherheitsmailingliste Full-Disclosure und Bugtraq eine Pufferüberlauf-Schwachstelle in der defang() Funktion. Durch diese ist es einem Angreifer möglich, beliebigen Programmcode mit den Rechten der Server-Anwendung auszuführen. Betroffen ist thttpd in den Versionen 2.21 bis 2.23b1. Eine kurze Quelltext-Analyse, die das Erstellen eines Exploits begünstigt, wurde dem Posting beigelegt. Die Entwickler wurden am 9. August 2003 über das Vorhandensein der Schwachstelle informiert. Am 12. September 2003, rund einen Monat später, wurde ein funktionierender Bugfix herausgegeben. Das Advisory wurde wiederum rund einen Monat später, am 27. Oktober 2003 publiziert.

Da thttpd gerne auf Unix-Systemen als kleiner Apache-Ersatz installiert wird, ist dieser Pufferüberlauf doch für einige Cracker interessant. Professionelle Seiten sind voraussichtlich weniger von der Gefahr betroffen. Eine Welle von Angriffsversuchen wurd jedoch dann starten, wenn erste funktionierende Exploits die Runde machen. Da das Texonet Advisory ziemlich sauber inkl. Quelltext ausgearbeitet wurde, ist dies nur eine Frage der Zeit.

Exploiting

Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja

Exploit: http://www.texonet.com/advisories/TEXONET-20030908.txt
Milw0rm: –
Nessus: –
ATK: –

Gegenmassnahmen

Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: –

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.acme.com/software/thttpd/thttpd-2.24.tar.gz

Snort: –
Pattern: –

Quellen

Advisory: http://www.texonet.com/advisories/TEXONET-20030908.txt

CVE: CVE-2003-0899
OSVDB: 2729
Securityfocus: 8906
Secunia: 10092
X-Force: 13530
Securitytracker: –
VUPEN: –
Securiteam: http://www.securiteam.com/unixfocus/6E00L2A8KG.html

Tecchannel: 1347
Heise: –
smSS: –
Andere: http://www.securityfocus.com/advisories/6008
Andere: http://www.securityfocus.com/advisories/6013
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter