Curl und wget stolpern über Microsoft-Authentifizierung

Die weit verbreiteten Download-Werkzeuge curl, die dazugehörige Bibliothek libcurl sowie wget enthalten einen Fehler in den Routinen zur NTLM-Anmeldung an Webservern, durch den manipulierte Server Code einschleusen könnten. Dieser kommt mit Benutzerrechten zur Ausführung. Das Problem wird noch weiter verschärft, da ein Webserver über eine HTTP-302-Redirect-Fehlermeldung eine Anmeldung mit dem NT-LAN-Manager(NTLM)-Protokoll erzwingen kann. Durch überlange Server-Antworten kann dabei ein Puffer fester Größe überlaufen.

Die NTLM-Authentifizierung ist ein proprietäres, von Microsoft ursprünglich für Windows-Netzwerke entwickeltes und eingeführtes Anmelde-Protokoll, das die Redmonder dann auch zur Authentifizierung an Webservern übernommen haben. iDefense erläutert in einer Sicherheitsmeldung hierzu, dass wget Code zur NTLM-Authentifikation vom curl-Projekt kopiert hat. So konnte sich der Fehler auch dort einschleichen.

Betroffen sind wget 1.10 sowie curl und libcurl von Version 7.10.6 bis einschließlich 7.14.1. Die wget-Entwickler schließen die Lücke mit der Version 1.10.2; curl und libcurl sind ab Version 7.15.0 nicht mehr verwundbar. Weiterhin nennt iDefense als Workaround, in der Konfiguration die NTLM-Authentifizierung zu unterbinden. Für die Linuxdistribution von Mandriva stehen schon aktualisierte Pakete bereit. Die anderen Distributoren dürften in Kürze nachziehen. Aufgrund des weitreichenden Einsatzes dieser Tools ist ein zeitnahes Update anzuraten.

Bemerkenswert ist die schnelle Reaktionszeit der Open-Source-Entwickler: Vorgestern wurde ihnen der Fehler gemeldet, gestern legten sie schon fehlerbereinigte Pakete vor und veröffentlichten Details zur Schwachstelle.

Siehe dazu auch: (dmk)

• Security Advisory von iDefense