Fehler in libc-Implementierung gefährdet FTP-Server
Ein Fehler in der Verarbeitung bestimmter Zeichenketten lässt sich für DoS-Angriffe auf die FTP-Server verschiedener Hersteller ausnutzen. Laut Bericht sollen unter anderem Systeme von Adobe und HP betroffen sein.
- Daniel Bachfeld
Ein Fehler in der Implementierung der Funktion glob() in verschiedenen C-Biobliotheken (libc) lässt sich ausnutzen, um FTP-Server aus der Ferne lahm zu legen. Da viele FTP-Server einen anonymen Login ermöglichen und der Fehler recht einfach ausnutzen ist, laufen viele Server Gefahr, Opfer eines Angriffs zu werden. Laut Bericht des Sicherheitsspezialisten Maksymilian Arciemowicz sollen auch größere FTP-Server wie die von Adobe und HP betroffen sein.
Ursache des Problems ist, dass bei der Erweiterung von Wildcard-Mustern in eine Liste passender Dateinamen (Globbing) die Funktion glob() den Aufruf anderer Funktionen und den benutzten Speicher nicht immer erfolgreich limitiert. Das kann dazu fĂĽhren, dass die Verarbeitung bestimmter Muster den Hauptspeicher fĂĽllt und in der Folge je nach Hardwareausstattung ein System sehr langsam wird, nicht mehr reagiert oder sogar abstĂĽrzt.
In der Regel unterstĂĽtzen FTP- und SFTP-Server Globbing. Bei den meisten ist die Funktion ĂĽber die libc implementiert, einige Hersteller haben die Funktion direkt in ihre Produkte integriert und erlauben ĂĽber die Konfiguration das Abschalten von Globbing.
Laut Arciemowicz sind OpenBSD 4.7, NetBSD 5.0.2, FreeBSD 7.3/8.1, Oracle Sun Solaris 10 und GNU Libc (glibc) betroffen. Demnach sollen die auch die FTP-Server ftp.openbsd.org, ftp.netbsd.org, ftp.freebsd.org, ftp.adobe.com (läuft auf OpenBSD), ftp.hp.com sowie ftp.sun.com verwundbar sein. Arciemowicz hat einen Exploit zu Demonstrationszwecken veröffentlicht.
Die NetBSD-Entwickler haben ein eigenes Advisory zu dem Problem herausgegeben und raten, entweder (S)FTP nicht anzubieten oder aus dem CVS-Repository den fehlerkorrgierten Code auszuchecken und zu ĂĽbersetzen. Von den anderen Hersteller liegen bislang noch keine offiziellen Berichte zu Patches oder Workarounds vor. (dab)