Network Security

AERAsec
Network Security
Aktuelle Sicherheitsmeldungen


Die Aktualisierung von Meldungen zum Thema Netzwerksicherheit wurde zum 01.10.2017 nach fast 20 Jahren eingestellt.
Hierfür gibt es verschiedene Gründe - es sind inzwischen zu viele Meldungen über Sicherheitslücken in Kombination mit der automatischen Aktualisierung von Systemen und Software. Früher war die Information zu aktuellen Schwachstellen sehr wichtig, heute aufgrund aktueller Sicherheits- und Aktualisierungstrends nicht mehr so notwendig. Danke für Ihr Verständnis.
Besuchen Sie uns auch auf http://www.tufin.club!

Die meisten Links führen direkt auf die entsprechende Datei der meldenden Organisation, damit Sie die Original-Meldung ebenfalls lesen können. Die Meldungen sind meist auf Englisch.

Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

Die AERAsec Network Services and Security GmbH stellt ein:
IT Security Consultant (m/w/d)
in Hohenbrunn b. München

Weitere Informationen bei Dr. Matthias Leu - hr@aerasec.de

AERAsec

Hier finden Sie unsere Suchmaschine zur Netzwerk-Sicherheit!


Sie übermitteln u.a. folgende Informationen:

Ihr Browser

CCBot/2.0 (https://commoncrawl.org/faq/)

Ihre Absenderadresse

(keine Reverse DNS Auflösung) [18.204.48.40]

Ihr Referer

(gefiltert oder nicht vorhanden)

Current month, Last month, Last 10 messages, Last 20 messages (index only)

Chosen message with ID ae-200204-033

de
System: Linux/Unix
Topic: Unsicheres Anlegen von Dateien durch uudecode
Links: AERAsec/uudecode-pipe-exploit code, CVE: CAN-2002-0178, Security Focus #4120, RHSA-2002-065, ae-200205-037, SecurityFocus/Bugtraq VulnID 4742, CERT VU#3360832, CSSA-2002-040, ae-200210-102, OAR-2002:895, ae-200210-110
ID: ae-200204-033

Release time: 12 Apr 2002

uudecode ist ein kleines Programm (meistens im Paket sharutils beinhaltet) welches Text, der zuvor von uuencode generiert wurde, dekodiert.
Üblicherweise sieht der Text folgendermaßen aus (Beispiel):

begin 644 /tmp/myfile.sh
M(R$O8FEN+W-H"F5C:&\@(DAE;&QO(&%L<V\A(@IE8VAO(")0<F]G<F%M.B`D
I,"(*96-H;R`B5'EP92`@(#H@:6YS=&%L;"!N;W<@82!P<F]G<F%M(@H`
`
end
Wird dieser Text mit uudecode dekodiert, erzeugt dieser normalerweise eine neue Datei mit dem Namen '/tmp/myfile.sh'. Leider checkt uudecode nicht, ob diese Datei bereits existiert oder unter diesem Namen ein symbolischer Link oder eine Named-Pipe angelegt ist. Auch der Benutzer wird in diesem Fall nicht überprüft.
Startet root ein Programm, das uudecode benutzt, um Daten mit festgelegtem Namen in unsichere Verzeichnisse zu extrahieren (wie z.B. /tmp oder /var/tmp), so kann ein lokaler Angreifer beliebige Dateien des Systems überschreiben oder die dekodierten Daten verändern. AERAsec hat beide Methoden 'symlink attack' und 'piping' erfolgreich auf einem Linux System nachvollzogen.

Diese Möglichkeit ist sicher nicht neu, aber AERAsec ist dieses Problem bei der Inspektion von Shell-Code eines Installationsprogramms einer kommerziellen Linux-Software aufgefallen, welche bekannte Dateinamen in unsicheren Verzeichnissen benutzt.

Betroffene Syteme: wahrscheinlich alle Linux/Unix
Betroffene Programme: Installationsprogramme, welche selbst Programme in uuencodierter Form transportieren mit Dateinamen in unsicheren Verzeichnissen, eventuell weitere...

Lösungen:
1) Auf Linux kann z.B. der Openwall patch für Kernels 2.2.x benutzt werden, um solche Attacken abzuwehren und zu loggen:
kernel: Security: denied writing FIFO of 1001.100 by UID 0, EUID 0, process bash:2591
kernel: Security: not followed symlink of 1001.100 by UID 0, EUID 0, process uudecode:3348

Für 2.4.x Kernels gibt es den grsecurity patch, welcher dann folgendes loggt:
grsec: denied writing FIFO (tmp/testfile) of 1001.1001 by (bash:1258) UID(0) EUID(0), parent (login:889) UID(0) EUID(0)
grsec: not following symlink (tmp/testfile2) [03:02]:193533 of 1001.1001 by (bash:1258) UID(0) EUID(0), parent (login:889) UID(0) EUID(0)

2) Kontaktieren Sie Ihren Linux/Unix Hersteller, ob er eine sicherere Version von uudecode zur Verfügung stellen kann

3) Überprüfen Sie Installationsprogramme, ob diese uudecode zum Datentransport benutzen, z.B. mit
cat installerfile | grep begin
begin 600 /var/tmp/file1
begin 600 /var/tmp/file2
begin 600 /var/tmp/installer
Fragen Sie den Hersteller, ob solch ein Installer sicher genug ist...

Anmerkung 1 [16 Jul 2002]: zusätzliche schützenswerte Kandidaten sind block und char Devices und Unix domain sockets, man denke nur an (auf z.B. Linux-Systeme):

begin 600 /dev/hda
...


Note 2 [16 Jul 2002]: das oben nicht näher genannte kommerzielle Programm, welches den unsicheren uudecode-Aufruf in der Installationsroutine beinhaltet, ist ISS RealSecure Server Sensor for Linux (überprüfte Datei: rsss6.5.2001.351-i686-linux-release.gz) mit dem bekannten (man muß nur das Installationsprogramm durchsehen...) Dateinamen für uuencodierte Daten "/var/tmp/dmn6.5.2001.351-i686-linux-release". ISS wurde am 10 Apr 2002 via e-mail informiert und antwortete am 11 Apr 2002. Leider haben sie bis heute keine gefixte Version auf ihrer Download-Webpage zur Verfügung gestellt.
en
System: Linux/Unix
Topic: Insecure output file handling in uudecode
Links: AERAsec/uudecode-pipe-exploit code, CVE: CAN-2002-0178, Security Focus #4120, RHSA-2002-065, ae-200205-037, SecurityFocus/Bugtraq VulnID 4742, CERT VU#3360832, CSSA-2002-040, ae-200210-102, OAR-2002:895, ae-200210-110
ID: ae-200204-033

Release time: 12 Apr 2002

uudecode is a small utility (mostly contained in package sharutils) which decodes text previously encoded using uuencode.
Usually such text looks like i.e.

begin 644 /tmp/myfile.sh
M(R$O8FEN+W-H"F5C:&\@(DAE;&QO(&%L<V\A(@IE8VAO(")0<F]G<F%M.B`D
I,"(*96-H;R`B5'EP92`@(#H@:6YS=&%L;"!N;W<@82!P<F]G<F%M(@H`
`
end
uudecoding such text will normally create a new file named '/tmp/myfile.sh'. Unfortunately, uudecode doesn't check whether this file already exists. Also it doesn't check whether this existing file is a symlink or a pipe. In addition, no user checks are done.
If using uudecode to extract data into unsecure directories (like /tmp or /var/tmp) this can be used for a race condition and perhaps local root exploit, if root runs programs which extract uuencoded data with filenames which are predictable by normal user. AERAsec tests both methods 'symlink attack' and piping successfully on Linux systems.

This possiblitiy is sure not new, but AERAsec found this issue during inspecting shell code of an installer program of a commercial Linux software which uses well-known filenames in unsecure temp directories.

Affected sytems: possible all Linux/Unix
Affected applications: installers, which transport programs in uuencoded data and filenames of unsecure directories, perhaps more...

Solutions:
1) On Linux use e.g. Openwall patch for kernel 2.2.x to avoid such symlinks and pipe attacks. This would be catched and logged like:
kernel: Security: denied writing FIFO of 1001.100 by UID 0, EUID 0, process bash:2591
kernel: Security: not followed symlink of 1001.100 by UID 0, EUID 0, process uudecode:3348

For 2.4.x kernels using grsecurity patch produces logs like
grsec: denied writing FIFO (tmp/testfile) of 1001.1001 by (bash:1258) UID(0) EUID(0), parent (login:889) UID(0) EUID(0)
grsec: not following symlink (tmp/testfile2) [03:02]:193533 of 1001.1001 by (bash:1258) UID(0) EUID(0), parent (login:889) UID(0) EUID(0)

2) Contact your Linux/Unix vendor for a more secure uudecode binary

3) Check installer programs whether they use uudecode for data transport, e.g.
cat installerfile | grep begin
begin 600 /var/tmp/file1
begin 600 /var/tmp/file2
begin 600 /var/tmp/installer
Ask vendor whether such installer is secure enough...

Note 1 [16 Jul 2002]: in additition, block and char devices and Unix domain sockets are also candidates for protection, think about (on e.g. Linux systems):

begin 600 /dev/hda
...


Note 2 [16 Jul 2002]: the mentionend commercial program containing the insecure uudecode usage in the installer is ISS RealSecure Server Sensor for Linux (checked file: rsss6.5.2001.351-i686-linux-release.gz) with the well-known (dig into the installer program...) file name for uuencoded data "/var/tmp/dmn6.5.2001.351-i686-linux-release". ISS was informed on 10 Apr 2002 via e-mail and responded on 11 Apr 2002. Unfortunately they have not released a fixed version until today on their download webpage.


(c) 2000-2017 AERAsec Network Services and Security GmbH