Sicherheitslücken in CAs ARCserve Backup ermöglichen Codeschmuggel

Der Sicherheitsdienstleister Zero Day Initiative (ZDI) warnt vor Sicherheitslücken in der Backup-Software CA ARCServer Backup, durch die Angreifer aus dem Netz ohne Authentifizierung Schadcode einschleusen und ausführen oder einen Denial-of-Service provozieren können. Updates vom Hersteller sollen die Schwachstellen abdichten.

Ein Fehler, den ZDI in ARCserver Backup für Linux entdeckt hat, geht auf eine fehlerhafte Längenprüfung in der Funtion xdr_rwsstring() zurück. Durch das Übergeben eines langen Wertes für einen Parameter kann bei der Verarbeitung ein stackbasierter Pufferüberlauf auftreten, in dessen Folge eingeschleuster Code ausgeführt werden kann.

Eine zweite Schwachstelle findet sich im caloggerd-Dienst zum Protokollieren von Ereignissen. Durch eine fehlende Überprüfung von übergebenen Pfaden können Angreifer ohne vorherige Anmeldung mittels Directory Traversal, also Pfadangaben mit /.., beliebige Daten an beliebige Dateien anhängen und so sogar die komplette Kontrolle über ein System erlangen.

Laut der ZDI-Fehlerberichte hat der Sicherheitsdienstleister CA bereits im September 2006 über die Sicherheitslücken informiert. Fast zwei Jahre hat CA für die Entwicklung eines Patches benötigt. Nutzer von ARCserve Backup sollten aufgrund der in jüngerer Vergangenheit häufiger entdeckten Lücken in der Software und der zögerlichen Patch-Bereitstellung von CA darüber nachdenken, auf ein besser gewartetes Produkt umzusteigen.

Siehe dazu auch:

• Security Notice for CA ARCserve Backup caloggerd and xdr functions, Sicherheitsmeldung von CA
• CA BrightStor ARCserve Backup XDR Parsing Buffer Overflow Vulnerability, Fehlerbericht der Zero Day Initiative
• CA BrightStor ARCserve Backup caloggerd Arbitrary File Writing Vulnerability, Fehlermeldung der Zero Day Initiative

(dmk)