VulDB: Netscape Network Security Services Library SSL2 Hello-Nachrichten Pufferüberlauf
Allgemein
scipID: 803
Betroffen: Netscape Network Security Services Library; betrifft somit Netscape Enterprise Server (NES), Personalization Engine (NPE), Directory Server (NDS), Certificate Management Server (CMS) sowie Sun One/iPlanet
Veröffentlicht: 23.08.2004 (Mark Dowd, ISS X-Force)
Risiko: 
kritisch
Beschreibung
Die Netscape Network Security Services Library ist eine gern genutzte Bibliothek für das Umsetzen von SSL-geschützten Verbindungen. Unterstützt werden sowohl SSL1 als auch SSL2. ISS X-Force hat in ihrem Alert 180 (Netscape NSS Library Remote Compromise) einen Pufferüberlauf bei der Verarbeitung von Hello-Nachrichten bei SSL2-Kommunikationen publiziert. Einem Angreifer ist es dadurch möglich, noch vor der entsprechenden Authentisierung eine Denial of Service oder gar beliebigen Programmcode auf dem Server-System auszuführen. Die ganze Bandbreite der professionellen Netscape-Server [http://secunia.com/advisories/12379/] aber auch Produkte anderer Firmen, die auf die Bibliothek zurückgreifen (z.B. Sun One/iPlanet [http://secunia.com/advisories/12378/]), sind betroffen. Der erfolgreiche Angriff ist aber explizit nur bei Version 2 von SSH möglich. Diese ist beispielsweise beim betroffenen Sun-Produkt standardmässig nicht aktiviert. Netscape hat einen Patch für die besagte Library herausgegeben. ISS weist in ihrem Bulletin darauf hin, dass ihre Sicherheitslösungen RealSecure Network Sensor und Proventia mit den aktuellsten Updates vor dem Angriff schützen können. Determinieren lässt sich die Schwachstelle ebenfalls mit dem Internet Scanner 7.0 mit XPU 7.35 vom 25. August 2004 (Check namens "SSLv2-Client-Hello-BO").
Ein sehr interessanter Angriff, weil er eine Reihe professioneller Produkte betrifft und zudem remote ausgenutzt werden kann. Entsprechend ist es nur eine Frage der Zeit, bis erste Exploits die Runde machen werden. In den kommenden Tagen werden Angreifer alles daran setzen, solche für ihre Vorteile umsetzen zu können. Für die Administratoren verwundbarer Systeme heisst dies, so schnell wie möglich den entsprechenden Patch einsetzen oder eine alternative Gegenmassnahme anstreben.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: http://www.securityfocus.com/bid/11015/exploit/
Milw0rm: –
Nessus: 37032 (Name: FreeBSD : nss — exploitable buffer overflow in SSLv2 protocol handler (1437)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: ftp://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_9_2_RTM
Snort: 2656 (WEB-MISC SSLv2 Client_Hello Challenge Length overflow attempt)
Pattern: |01|
Quellen
Advisory: http://xforce.iss.net/xforce/alerts/id/180
CVE: CVE-2004-0826
OSVDB: –
Securityfocus: 11015
Secunia: 12362
X-Force: 16314
Securitytracker: –
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: 50313
smSS: smSS 19. September 2004
Andere: http://www.ciac.org/ciac/bulletins/o-204.shtml
Andere: http://www.auscert.org.au/render.html?it=4326
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
