Apple Mac OS X 10.0 bis 10.3.2 SecurityServer auf G4 langes Passwort Denial of Service

VulDB: Apple Mac OS X 10.0 bis 10.3.2 SecurityServer auf G4 langes Passwort Denial of Service

Allgemein

scipID: 464
Betroffen: Apple Mac OS X 10.0 bis 10.3.2 SecurityServer auf G4
Veröffentlicht: 30.12.2003 (Matt Burnett)
Risiko: problematisch
Eintrag: 86% komplett
Erstellt: 06.01.2004
Aktualisiert: 24.03.2004

Beschreibung

Mac OS X ist ein relativ junges, kommerzielles, von der Firma Apple betreutes UNIX-Derivat. Es ist für Apple-Hardware verfügbar. Durch ein überlanges Passwort ist es einem lokalen Angreifer möglich, den SecurityServer auf einem G4 abstürzen zu lassen. Eine Vielzahl an Applikationen ist auf den SecurityServer angewiesen und kann ihren Dienst nicht mehr verrichten, wenn dieser nicht mehr funktionstüchtig ist. Ein sehr kurzer und in C geschriebener proof-of-concept Exploit wurde unter anderem auf SecuriTeam.com publiziert. Als Workaround wird empfohlen lediglich vertrauenswürdigen Benutzern Zugriff zu den betroffenen Systemen zu gewähren. Es ist damit zu rechnen, dass Apple das Problem in den kommenden Tagen mit einem Patch beheben wird. Angeblich ist das Problem auf einem G5 nicht existent. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (3314), Secunia (SA10524) und SecurityFocus (BID 9332) dokumentiert.

Einmal mehr eine Schwachstelle, die durch die simple Eingabe eines überlangen Passworts ausgenutzt werden kann. Fehler dieser Art sind klassisch und man könnte meinen, dass moderne Software-Entwickler sich den Risiken dieser bewusst sind. Entsprechend scheint es so, als hätte jemand bei Apple seine Hausaufgaben nicht gemacht. Es bleibt zu hoffen, dass dies der letzte Fehler dieser Art bleibt.