Pufferüberlauf im OpenSSH-Server und -Client (< 3.7.1 )

#0
16.09.2003, 18:42
Moderator
Avatar joschi

Beiträge: 6466
#1 To: Ticker@Lists.CERT.Uni-Stuttgart.DE
Subject: [Generic/OpenSSH] Pufferueberlauf im OpenSSH-Server und -Client

[Generic/OpenSSH] Pufferüberlauf im OpenSSH-Server und -Client
(2003-09-16 16:11:22.174694+02)
Quelle: http://www.mindrot.org/pipermail/openssh-unix-announce/2003-September/000063.html

Ein Pufferüberlauffehler in der Pufferverwaltung der OpenSSH-Programme
ist entdeckt worden.

Betroffene Systeme
* Systeme, die OpenSSH vor Version 3.7
* Möglicherweise sind weitere SSH-Implementierungen betroffen.

Nicht betroffene Systeme
* OpenSSH ab Version 3.7
* Systeme, die mit entsprechenden Vendor-Patches zur Behebung der
Schwachstelle versehen sind, die aber i.d.R. nicht die
Versionsnummer ändern.

Einfallstor
SSH-Verbindungen (Port 22/TCP)

Auswirkung
Wahrscheinlich Systemkompromittierung (bei erfolgreichem Angriff)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch (falls tatsächlich ausnutzbar)
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
In dem Code zur Pufferverwaltung ist ein Pufferüberlauffehler
enthalten. Dieser Code wird sowohl vom SSH-Client, als auch vom
SSH-Server verwendet.

Falls ein Puffer zu groß wird, wird das Programm abgebrochen, ohne daß
ein neuer, größerer Speicherblock angefordert wird. Die Länge des
Speicherblocks wurde allerdings schon vorher heraufgesetzt. Während
des Programmabbruchs wird daher der betroffene Puffer über das Ende
hinaus mit Nullen überschrieben (diese Maßnahme soll Datenlecks
verhindern). Da nur Nullen in den Speicher geschrieben werden, der
Angreifer somit keine Kontrolle über die geschriebenen Daten hat und
das Programm bald beendet wird (so daß das Überschreiben von Variablen
dem SSH-Dämon keine Authentifizierung vorgaukeln kann), erscheint es
ziemlich unwahrscheinlich, daß die Schwachstelle tatsächlich
ausgenutzt werden kann.

Allerdings ist SSH ein sehr kritischer Dienst, weswegen ein Update
bzw. ein Patch trotzdem möglichst bald eingespielt werden sollte.

Der Fehler liegt in einem sehr alten Teil des OpenSSH-Codes. Er
scheint noch von einer der alten, freien SSH-Versionen von Tatu Ylonen
übernommen worden zu sein. Es besteht daher die Möglichkeit, daß
weitere SSH-Implementierung (insbesondere solche für Protokoll 1)
diesen Fehler ebenfalls enthalten.

Es existieren zahlreiche Gerüchte über Angriffsprogramme. Allerdings
liegt keine Bestätigung aus glaubhafter Quelle vor. Auch dem
OpenSSH-Team scheint kein Angriffsprogramm vorzuliegen.

Gegenmaßnahmen
* Update auf [2]OpenSSH 3.7.
* Einspielen des [3]Patches aus dem [4]OpenSSH-Advisory.

Vulnerability ID
* [5]CAN-2003-0693

Aktuelle Version dieses Artikels
[6]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1147

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[7]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://www.openssh.com/portable.html
3. http://CERT.Uni-Stuttgart.DE/files/fw/patches/openssh-buffer-mgmt.diff
4. http://www.mindrot.org/pipermail/openssh-unix-announce/2003-September/000063.html
5. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0693
6. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1147
7. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
17.09.2003, 12:37
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#2 Update:
Inzwischen sind weitere Stellen mit ähnlichen Fehlern
entdeckt worden. Diese Fehler wurden durch das erste OpenSSH-Update
(OpenSSH 3.7) nicht behoben. Die neuen Fehler sind etwa genauso
kritisch wie die alten.

Allerdings ist SSH ein sehr kritischer Dienst, weswegen ein Update
bzw. ein Patch trotzdem möglichst bald eingespielt werden sollte.

Der Fehler liegt in einem sehr alten Teil des OpenSSH-Codes. Er
scheint noch von einer der alten, freien SSH-Versionen von Tatu Ylonen
übernommen worden zu sein. Es besteht daher die Möglichkeit, daß
weitere SSH-Implementierung (insbesondere solche für Protokoll 1)
diesen Fehler ebenfalls enthalten.

Es existieren zahlreiche Gerüchte über Angriffsprogramme. Allerdings
liegt keine Bestätigung aus glaubhafter Quelle vor. Auch dem
OpenSSH-Team scheint kein Angriffsprogramm vorzuliegen.

Gegenmaßnahmen
* Update auf [2]OpenSSH 3.7.1.
* Einspielen des Patches (für [3]OpenSSH 3.6.x und früher bzw. für
[4]OpenSSH 3.7) aus dem OpenSSH-Advisory.

Vulnerability ID
* [5]CAN-2003-0693 (für den ersten Fehler)
* [6]CERT/CC Vulnerability Note VU#333628 (ebenfalls für den ersten
Fehler)

Revisionen dieser Meldung
* V. 1.0 (2003-09-16)
* V. 2.0 (2003-09-17) Weitere, sehr ähnliche Fehler wurden entdeckt

Aktuelle Version dieses Artikels
[7]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1147

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[8]http://CERT.Uni-Stuttgart.DE/
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
17.09.2003, 13:14
Member
Avatar Xeper

Beiträge: 5291
#3 Hab grad von einem Kollegen gehört das es diesen Bug tatsächlich gibt und er auch außnutzbar ist! Und zwar in Versionen vor 3.7 und danach. Leider habe ich noch keine Beweise dafür.

Edit: Hier noch ein Link: http://www.securityfocus.com/advisories/5830
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Dieser Beitrag wurde am 17.09.2003 um 15:35 Uhr von Xeper editiert.
Seitenanfang Seitenende
17.09.2003, 19:16
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#4

Zitat

Leider habe ich noch keine Beweise dafür.

...´würde dennoch updaten ;)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
17.09.2003, 22:31
Member
Avatar Emba

Beiträge: 907
#5 @xeper

jop, es sind wohl schon exploits im umlauf, wahrscheinlich existiert das loch schon eine weile und erst jetzt wird es aufgrund der gefahr, dass der exploit in falsche hände geraten ist, public gemacht

greez
Seitenanfang Seitenende
18.09.2003, 05:13
Member
Avatar Xeper

Beiträge: 5291
#6 @joschi

das ist heute bzw. gestern bereits geschehen auf 3.7.1p1 - hoffentlich bringt das was. Leider ist es mir aufgrund zu weniger skills nicht möglich den Fehler in der Source selber zu korrigieren. Ich kenne einen der zwar C Programmierer ist aber den seine Zeit kost au Geld. Deswgen muss ich mich auf die lieben Leuts von OpenSSH verlassen ;) Trozdem würde ich einen solchen exploit mal gerne sehen oder wenigstens Beweise, screenshots etc.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
18.09.2003, 10:20
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#7 Ich fände es auch sehr spannend hierbei den Experten mal über die Schulter zu schauen. Wenn ich nur die Pizza (warm) halten dürfte, wär das schon was ;).
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: