VulDB: Squid Web Proxy Cache bis 3.x NTLM Authentication Helper Pufferüberlauf
Allgemein
scipID: 698
Betroffen: Squid Web Proxy Cache bis 3.x
Veröffentlicht: 08.06.2004 (anonymous, iDEFENSE)
Risiko: 
kritisch
Beschreibung
Squid ist ein open-source Projekt, das einen freien und hochskalierbaren Proxy für Unix-Systeme zur Verfügung stellt. Es werden Protokolle wie HTTP und FTP sowie Funktionalitäten wie SSL-Unterstützung, Chache-Hierarchien und Zugriffskontrolllisten bereitgestellt. Im iDEFENSE Security Advisory 06.08.04 wird über eine eingekaufte Schwachstelle berichtet, die den NTLM Authentication Helper von Squid bis 3.x betrifft. ntlm_check_auth() in helpers/ntlm_auth/SMB/libntlmssp.c weist einen Pufferüberlauf auf, der durch ein zu langes Passwort bei der NTLM-Authentisierung erzwungen werden kann. Darüber wäre das Ausführen beliebigen Programmcodes denkbar. Ein Exploit ist bisher nicht bekannt. Als Workaround wird im Advisory angegeben, den Squid-Proxy ohne NTLM-Support zu re-kompilieren. Das Squid-Team hat jedoch auch einen Patch für die Schwachstelle herausgegeben, der rund einen Tag später auch von den jeweiligen Linux-Distributoren verteilt wurde.
Die Schwachstelle ansich ist nichts besonderes. Interessant hierbei ist, dass es sich um eine eingekaufte Schwachstelle handelt, deren Finder laut iDEFENSE unbekannt bleiben möchte. Die Beweggründe für die Publikation der Schwachstelle können also primär finanzieller Natur sein. Durchaus ist es aber auch möglich, dass jemand die Schwachstelle verkauft hat, der direkt am Squid-Projekt beteiligt war oder ist. Der Ankauf und Verkauf von Informationen zu Schwachstellen wird wohl in Zukunft ein noch grösseres Thema werden.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: http://www.securityfocus.com/bid/10500/exploit/
Milw0rm: –
Nessus: 36518 (Name: FreeBSD : Buffer overflow in Squid NTLM authentication helper (1826)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://www.squid-cache.org/~wessels/patch/libntlmssp.c.patch
Snort: 12362 (EXPLOIT Squid HTTP Proxy-Authorization overflow)
Pattern: Proxy-Authorization|3A| NTLM TlRMTVNTUAADA
Quellen
Advisory: http://www.idefense.com/application/poi/display?id=107&type=vulnerabilities
CVE: CVE-2004-0541
OSVDB: –
Securityfocus: 10500
Secunia: 11804
X-Force: 16360
Securitytracker: –
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: 48075
smSS: smSS 19. Juni 2004
Andere: http://www.idefense.com/poi/teams/vcp.jsp
Andere: http://www.heise.de/security/news/foren/go.shtml?list=1&forum_id=57320
Buchtipp: Brian Hatch, James Lee, George Kurtz und Anne Carasik (2002), Das Anti-Hacker-Buch für Linux, mitp, ISBN 3826606698 (amazon.de)
