scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Tripwire bis 2.4 cPipedMailMessage::SendString() Format String

Allgemein

scipID: 690
Betroffen: Tripwire kommerzielle Version bis 2.4 und open-source Version bis 2.3.1
Veröffentlicht: 03.06.2004 (Paul Herman)
Risiko: kritisch

Beschreibung

Tripwire ist ein Dateibasierendes Intrusion Detection-Tool, das unerwünschte Manipulationen von Dateien und im Dateisystem erkennen und verhindern kann. Dem Ändern von Daten oder das Einschleusen von korruptem Programmcode (z.B. Viren oder Hintertüren) kann so entgegengewirkt werden. Wie mitunter als erstes auf SecuriTeam.com berichtet wird, besteht eine Format String-Schwachstelle in der Funktion cPipedMailMessage::SendString(), die für den Versand von Benachrichtigungs-Mails zuständig ist. Durch das Platzieren einer mit Format Strings bestückten Datei auf dem angegriffenen Dateisystem kann ein Angreifer erweiterte Rechte erlangen. Um die Attacke erfolgreich auszuführen ist es erforderlich, dass Tripwire so konfiguriert ist, dass auch entsprechende Email-Reports generiert werden. Der Fehler wurde durch den Hersteller vorerst nur in der kommerziellen Version behoben. Auf SecuriTeam.com wurde jedoch ein diff-Patch publiziert, der sich auch auf die open-source Version anwenden lässt. Als Workaround empfiehlt sich das Deaktivieren der betroffenen Email-Funktion.

Schon lange gab es keine ernstzunehmende Format String-Schwachstelle in einem populären Produkt. Von Glück kann man an dieser Stelle sprechen, dass sich der Angriff auf Tripwire nur auf dem lokalen Dateisystem umsetzen lässt. Dies soll jedoch nicht über die Gefahr hinwegtäuschen, die vom Fehler ausgeht. In Hochsicherheitsumgebungen sollten deshalb unverzüglich Gegenmassnahmen angestrebt werden.

Exploiting

Klasse: Format String
Lokal: Ja
Remote: Indirekt

Exploit: http://www.securityfocus.com/bid/10454/exploit/
Milw0rm: –
Nessus: 14513
ATK: –

Gegenmassnahmen

Status: Es wurde ein Patch herausgegeben.
Bestätigung: –

Massnahme: Den freigegebenen Patch einspielen.
Link: http://www.securiteam.com/unixfocus/5VP060UD5S.html

Snort: –
Pattern: –

Quellen

Advisory: http://archives.neohapsis.com/archives/bugtraq/2004-06/0032.html

CVE: CVE-2004-0536
OSVDB: 6608
Securityfocus: 10454
Secunia: 11763
X-Force: 16309
Securitytracker: –
VUPEN: –
Securiteam: http://www.securiteam.com/unixfocus/5VP060UD5S.html

Tecchannel: –
Heise: –
smSS: –
Andere: http://archives.neohapsis.com/archives/bugtraq/2004-06/0043.html
Andere: http://security.gentoo.org/glsa/glsa-200406-02.xml
Buchtipp: Anonymous (2001), Der neue Linux Hacker’s Guide, Markt+Technik, ISBN 3827260981 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter