Cisco Security Appliances durch Telnet-Bug gefährdet
Durch eine seit längerem bekannte Lücke im Telnet-Daemon telnetd kann ein Angreifer aus der Ferne Code mit Systemrechten ausführen.
- Ronald Eikenberg
Cisco warnt vor einer Lücke im Telnet-Server der Monitoring-Lösungen IronPort Email Security Appliances (ESA) und IronPort Security Management Appliances (SMA), durch die ein Angreifer unter Umständen aus der Ferne Code auf den Systemen ausführen kann. Hierzu muss der Angreifer lediglich einen speziell präparierten Befehl an den Telnet-Daemon telnetd senden.
Durch einen Pufferüberlauf in der Funktion encrypt_keyid() führt der Server den eingeschleusten Code schließlich mit Systemrechten aus. Einen Patch bietet Cisco seinen Kunden derzeit nicht an. Wer verhindern will, dass das System kompromittiert wird, muss den Telnet-Server deaktivieren. Die hierzu nötigen Schritte findet man im Advisory.
Die Lücke in telnetd wurde ursprünglich bereits Mitte Dezember vergangenen Jahres für FreeBSD gemeldet. Kurze Zeit später wurde bekannt, dass man die Schwachstelle auch unter Linux ausnutzen kann. Allerdings dürfte ein Telnet-Server nur noch auf wenigen Systemen zum Einsatz kommen.
Für die viele Distributionen wie Redhat und Debian gibt es bereits Updates. Auch Kerberos 5 (krb5-appl) bis einschließlich Version 1.0.2 und Heimdal bis einschließlich Version 1.5.1 sind betroffen. Die Lücke wird bereits aktiv ausgenutzt, ein passender Exploit ist für jedermann zugänglich im Umlauf. (rei)
