zurück zum Artikel

Durch eine seit längerem bekannte Lücke im Telnet-Daemon telnetd kann ein Angreifer aus der Ferne Code mit Systemrechten ausführen.

Cisco warnt [1] vor einer Lücke im Telnet-Server der Monitoring-Lösungen IronPort Email Security Appliances (ESA) [2] und IronPort Security Management Appliances (SMA) [3], durch die ein Angreifer unter Umständen aus der Ferne Code auf den Systemen ausführen kann. Hierzu muss der Angreifer lediglich einen speziell präparierten Befehl an den Telnet-Daemon telnetd senden.

Durch einen Pufferüberlauf in der Funktion encrypt_keyid() führt der Server den eingeschleusten Code schließlich mit Systemrechten aus. Einen Patch bietet Cisco seinen Kunden derzeit nicht an. Wer verhindern will, dass das System kompromittiert wird, muss den Telnet-Server deaktivieren. Die hierzu nötigen Schritte findet man im Advisory.

Die Lücke [4] in telnetd wurde ursprünglich bereits Mitte Dezember vergangenen Jahres für FreeBSD gemeldet. Kurze Zeit später wurde bekannt, dass man die Schwachstelle auch unter Linux ausnutzen kann. Allerdings dürfte ein Telnet-Server nur noch auf wenigen Systemen zum Einsatz kommen.

Für die viele Distributionen wie Redhat und Debian gibt es bereits Updates. Auch Kerberos 5 (krb5-appl) [5] bis einschließlich Version 1.0.2 und Heimdal [6] bis einschließlich Version 1.5.1 sind betroffen. Die Lücke wird bereits aktiv ausgenutzt, ein passender Exploit [7] ist für jedermann zugänglich im Umlauf. (rei [8])

URL dieses Artikels:
https://www.heise.de/-1423305

Links in diesem Artikel:
[1] http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120126-ironport
[2] http://www.cisco.com/en/US/products/ps10154/index.html
[3] http://www.cisco.com/en/US/products/ps10155/index.html
[4] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4862
[5] http://web.mit.edu/kerberos/
[6] http://www.h5l.org/
[7] http://www.exploit-db.com/exploits/18280/
[8] mailto:rei@heise.de

Copyright © 2012 Heise Medien