scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: rsync Server bis 2.5.6 Heap Overflow

Allgemein

scipID: 427
Betroffen: rsync bis Version 2.5.6 im Server Mode
Veröffentlicht: 04.12.2003 (Timo Sirainen, Mike Warfield, Paul Russell und Andrea Barisani)
Risiko: kritisch

Beschreibung

rsync ist ein Utility, das dazu genutzt wird, um Dateien im Netzwerk abzugleichen. Wird die Software im Server-Modus betrieben, kann ein Angreifer einen Heap Overflow nutzen, um erweiterte Rechte zu erlangen. In ihrem Advisory weisen die rsync Entwickler darauf hin, dass über diesen Fehler in einen öffentlichen rsync-Server eingebrochen wurde. Wahrscheinlich ist wohl das Gentoo-System, das gestern kompromittiert wurde, damit gemeint. Weitere Details zum Angriff und der Sicherheitslücke ansich sind noch nicht bekannt. Es scheint aber entsprechend im Untergrund ein Exploit herumgereicht zu werden. Der Fehler wurde in der rsync Version 2.5.7 behoben. Die meisten Linux- und Unix-Distributoren haben wenige Tage später Aktualisierungen bzw. Patches für ihre Systeme herausgegeben.

Die verschiedenen Stellen haben dieser Schwachstelle unterschiedliche Gewichtungen beigemessen. Da nur der Server-Betrieb betroffen und Heap Overflows nicht gerade leicht konstruktiv auszunutzen sind, wäre eine ‘sehr kritisch’ Einstufung zu viel des Guten. Trotzdem sollte man das Risiko nicht unterschätzen. Der Einbruch in das Gentoo-System unterstreicht die Wichtigkeit, in betroffenen Umgebungen unverzüglich die neueste rsync-Version zu installieren.

Exploiting

Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja

Exploit: http://www.securityfocus.com/bid/9153/exploit/
Milw0rm: –
Nessus: 36807 (Name: FreeBSD : rsync buffer overflow in server mode (1694)
ATK: –

Gegenmassnahmen

Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: –

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://rsync.samba.org/

Snort: 2048 (DELETED MISC rsyncd overflow attempt)
Pattern: |00 00|

Quellen

Advisory: http://rsync.samba.org/

CVE: CVE-2003-0962
OSVDB: 2898
Securityfocus: 9153
Secunia: 10474
X-Force: 13899
Securitytracker: –
VUPEN: –
Securiteam: http://www.securiteam.com/unixfocus/6W0021595C.html

Tecchannel: 1608
Heise: ju-04.12.03-001
smSS: –
Andere: http://samba.org/ftp/rsync/rsync-2.5.7.tar.gz
Andere: http://www.heise.de/security/news/meldung/42608
Buchtipp: Tobias Klein (2001), Linux-Sicherheit, Dpunkt Verlag, ISBN 3932588045 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter