DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2325: NetBSD: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme

Historie

Version 1 (2017-12-29 10:09)
Neues Advisory

Betroffene Software

NetBSD 7.1
NetBSD < 7.1.1

Betroffene Plattformen

NetBSD

Lösung

Patch

NetBSD 7.1.1 Release Notes

Beschreibung

Mehrere Schwachstellen in NetBSD und den darin verwendeten Komponenten Heimdal, wpa_supplicant, X.Org-Server und verwandten Bibliotheken ermöglichen einem entfernten, nicht authentisierten Angreifer die vollständige Kompromittierung des Dienstes Heimdal sowie das Umgehen von Sicherheitsvorkehrungen im Kontext der WPA2-Verschlüsselungsmethode (KRACK-Schwachstellen), einem entfernten, einfach authentifizierten Angreifer die Eskalation seiner Privilegien und das Ausspähen von Informationen und einem lokalen, zumeist nicht authentisierten Angreifer das Erlangen von Administratorrechten, die Eskalation von Privilegien, das Ausspähen von Informationen, verschiedene Denial-of-Service-Angriffe und weitere nicht spezifizierte Angriffe.

Das NetBSD-Project stellt NetBSD 7.1.1 als kritisches Sicherheitsupdate zur Behebung der Schwachstellen in NetBSD 7.1 zur Verfügung. Mit diesem Update werden neben den explizit genannten Schwachstellen zusätzliche Probleme im Kernel adressiert und die Komponenten BIND, expat, ntp, root.cache, tzdata, virecover und wpa_supplicant/hostapd auf neuere Versionen aktualisiert, wodurch weitere Schwachstellen behoben werden.

Schwachstellen

CVE-2017-16611: Schwachstelle in libXfont ermöglicht Ausspähen von Informationen

X.Org libXfont vor Version 1.5.4 und 2.0.3 enthält eine Schwachstelle aufgrund der fehlenden Angabe 'O_NOFOLLOW' beim Öffnen von Dateien, wodurch ein lokaler, nicht authentisierter Angreifer mit Hilfe symbolischer Verknüpfungen von 'fonts.dir', 'fonts.alias' oder einer Zeichensatzdatei zu einer beliebigen Datei des Systems, darunter auch spezielle Gerätedateien in '/dev', diese Datei mit den Rechten des X-Servers, d.h. also in der Regel mit den Rechten des Administratorbenutzers 'root', öffnen und auslesen kann.

CVE-2017-16612: Schwachstelle in libXcursor ermöglicht Denial-of-Service-Angriff

X.Orgs libXCursor enthält vor Version 1.1.15 eine Schwachstelle aufgrund der unzureichenden Beschränkung für Bilddimensionen auf 32-Bit-Systemen und der fehlerhaften Typisierung der Längenangabe von Kommentarfeldern.

CVE-2017-13088: Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

Die erneute Installation des 'Integrity Group Key' (IGTK) bei der Verarbeitung eines Wireless Network Management (WNM) Sleep Mode Response-Frames ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk die Entschlüsselung eigentlich verschlüsselten Datenverkehrs.

CVE-2017-13087: Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

Die erneute Installation des 'Group Key' (GTK) bei der Verarbeitung eines Wireless Network Management (WNM) Sleep Mode Response-Frames ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk die Entschlüsselung eigentlich verschlüsselten Datenverkehrs.

CVE-2017-13086: Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

Die erneute Installation des 'Tunneled Direct-Link Setup (TDLS) PeerKey (TPK)' im TDLS-Handshake bei geschützten WLAN-Verbindungen (WPA, WPA2) ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk die Entschlüsselung eigentlich verschlüsselten Datenverkehrs.

CVE-2017-13082: Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

Durch Annahme eines erneut gesendeten 'Fast BSS Transition (FT) Reassociation Request' und erneute Installation des 'Pairwise Encryption Key' (PTK-TK) während der Verarbeitung desselben wird einem nicht authentisierten Angreifer im benachbarten Netzwerk die Entschlüsselung eigentlich verschlüsselten Datenverkehrs ermöglicht.

CVE-2017-13081: Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

Die erneute Installation des 'Integrity Group Key' (IGTK) im Group-Key-Handshake bei geschützten WLAN-Verbindungen (WPA, WPA2) ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk die Entschlüsselung eigentlich verschlüsselten Datenverkehrs.

CVE-2017-13080: Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

Die erneute Installation des 'Group Key' (GTK) im Group-Key-Handshake bei geschützten WLAN-Verbindungen (WPA, WPA2) ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk die Entschlüsselung eigentlich verschlüsselten Datenverkehrs.

CVE-2017-13079: Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

Die erneute Installation des 'Integrity Group Key' (IGTK) im Vier-Wege-Handshake bei geschützten WLAN-Verbindungen (WPA, WPA2) ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk die Entschlüsselung eigentlich verschlüsselten Datenverkehrs.

CVE-2017-13078: Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

Die erneute Installation des 'Group Key' (GTK) im Vier-Wege-Handshake bei geschützten WLAN-Verbindungen (WPA, WPA2) ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk die Entschlüsselung eigentlich verschlüsselten Datenverkehrs.

CVE-2017-13077: Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

Die erneute Installation des 'Pairwise Encryption Key' (PTK-TK) im Vier-Wege-Handshake bei geschützten WLAN-Verbindungen (WPA, WPA2) ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk die Entschlüsselung eigentlich verschlüsselten Datenverkehrs.

CVE-2017-12184 CVE-2017-12185 CVE-2017-12186 CVE-2017-12187: Schwachstellen in X.Org-Server ermöglichen nicht spezifizierten Angriffe

In X.Org-Server bestehen mehrere nicht näher beschriebene Schwachstellen, weil Längenangaben nicht validiert werden. Ein wahrscheinlich lokaler, nicht authentisierter Angreifer kann durch das Ausnutzen der Schwachstellen einen Pufferspeicherüberlauf provozieren und so möglicherweise beliebigen Programmcode zur Ausführung bringen oder eine Denial-of-Service-Angriff durchführen.

CVE-2017-12183: Schwachstelle in X.Org-Server ermöglicht nicht spezifizierten Angriff

In 'xfixes' in X.Org-Server besteht eine nicht näher beschriebene Schwachstelle, weil eine Längenangabe nicht validiert wird. Ein wahrscheinlich lokaler, nicht authentisierter Angreifer kann durch das Ausnutzen der Schwachstelle einen Pufferspeicherüberlauf provozieren und so möglicherweise beliebigen Programmcode zur Ausführung bringen oder eine Denial-of-Service-Angriff durchführen.

CVE-2017-12180 CVE-2017-12181 CVE-2017-12182: Schwachstellen in X.Org-Server ermöglichen nicht spezifizierte Angriffe

In 'hw/xfree86' in X.Org-Server bestehen mehrere nicht näher beschriebene Schwachstellen, weil Längenangaben nicht validiert werden. Ein wahrscheinlich lokaler, nicht authentisierter Angreifer kann durch das Ausnutzen der Schwachstellen einen Pufferspeicherüberlauf provozieren und so möglicherweise beliebigen Programmcode zur Ausführung bringen oder eine Denial-of-Service-Angriff durchführen.

CVE-2017-12179: Schwachstelle in X.Org-Server ermöglicht nicht spezifizierten Angriff

In '(S)ProcXIBarrierReleasePointer' in X.Org-Server besteht eine nicht näher beschriebene Schwachstelle, weil eine Längenangabe nicht validiert wird und ein Ganzzahlüberlauf (Integer Overflow) provoziert werden kann. Ein wahrscheinlich lokaler, nicht authentisierter Angreifer kann durch das Ausnutzen der Schwachstelle einen Pufferspeicherüberlauf (Buffer Overflow) provozieren und so möglicherweise beliebigen Programmcode zur Ausführung bringen oder einen Denial-of-Service (DoS)-Angriff durchführen.

CVE-2017-12178: Schwachstelle in X.Org-Server ermöglicht nicht spezifizierten Angriff

In X.Org-Server besteht eine nicht näher beschriebene Schwachstelle, weil eine zusätzliche Längenangabe in 'ProcXIChangeHierarchy' nicht validiert wird. Ein wahrscheinlich lokaler, nicht authentisierter Angreifer kann durch das Ausnutzen der Schwachstelle einen Pufferspeicherüberlauf provozieren und so möglicherweise beliebigen Programmcode zur Ausführung bringen oder eine Denial-of-Service-Angriff durchführen.

CVE-2017-12177: Schwachstelle in X.Org-Server ermöglicht nicht spezifizierten Angriff

In der Funktion 'ProcDbeGetVisualInfo' in 'dbe' in X.Org-Server werden Variablenlängen-Anfragen nicht validiert. Ein möglicherweise lokaler, nicht authentisierter Angreifer kann durch die Ausnutzung der Schwachstelle einen nicht spezifizierten Angriff durchführen.

CVE-2017-12176: Schwachstelle in X.Org-Server ermöglicht nicht spezifizierten Angriff

In X.Org-Server besteht eine nicht näher beschriebene Schwachstelle, weil eine zusätzliche Längenangaben in 'ProcEstablishConnection' nicht validiert wird. Ein wahrscheinlich lokaler, nicht authentisierter Angreifer kann durch das Ausnutzen der Schwachstelle einen Pufferspeicherüberlauf provozieren und so möglicherweise beliebigen Programmcode zur Ausführung bringen oder eine Denial-of-Service-Angriff durchführen.

CVE-2017-13722: Schwachstelle in libXfont ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

Aufgrund des fehlerhaften Umgangs mit bestimmten, fehlerhaften PCF-Dateien besteht eine Schwachstelle in libXfont, die ein lokaler, nicht authentisierter Angreifer ausnutzen kann, um die Anwendung abstürzen zu lassen (Denial-of-Service) oder sensitive Informationen auszuspähen.

CVE-2017-13720: Schwachstelle in libXfont ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

Aufgrund des fehlerhaften Umgangs mit bestimmten Mustern in 'PatternMatch' besteht eine Schwachstelle in libXfont, die ein lokaler, nicht authentisierter Angreifer ausnutzen kann, um die Anwendung abstürzen zu lassen (Denial-of-Service) oder sensitive Informationen auszuspähen.

NETBSD-SA2017-006: Schwachstelle in NetBSD ermöglicht Denial-of-Service-Angriff und Privilegieneskalation

Im Kernel existiert eine Schwachstelle aufgrund eines einfach herbeizuführenden Fehlerpfades, durch welchen eine nicht zurückgenommene Referenz auf einen 'vnode' übrigbleibt. Beim Aufruf des 'openat'-Systemaufrufs unter Verwendung eines Dateibeschreibers (File Descriptor), der kein Verzeichnis als Startpunkt für eine Pfadsuche benennt, wird temporär eine Referenz auf den darunterliegenden 'vnode' verwendet und beim Entdecken des Fehlers nicht freigegeben. Dies verhindert ein 'Unmounting' des betroffenen Laufwerks. Ein lokaler, einfach authentisierter Angreifer kann deshalb die Schwachstelle für einen Denial-of-Service (DoS)-Angriff ausnutzen. Weiterhin ist es wahrscheinlich, dass ein wiederholtes Ansprechen dieser Schwachstelle dafür verwendet werden kann, den Kernel-Heap-Speicher zu korrumpieren, wodurch also Privilegien auf Kernel-Level erlangt werden können, selbst dann, wenn 'securelevel' aktiviert ist.

NETBSD-SA2017-005: Schwachstellen in NetBSD ermöglichen u.a. Übernahme des Systems

In den i386 und amd64 Ports von NetBSD existieren mehrere Schwachstellen:

1) Unter bestimmten Bedingungen ist es erlaubt aus dem Benutzerraum (Userland) heraus den Kernel zur Generierung eines 'Stack Faults' bei der Ausführung von 'iret' zu bringen. Aufgrund einer fehlenden Prüfung im Trap Handler auf einen solchen Fehler kann hierdurch eine Kernelpanik für einen i386-Kernel ausgelöst werden.

2) Auf i386- und amd64-Systemen existiert ein 'Call Gate', welches Binärdateien aus früheren Releases die Ausführung von Systemaufrufen ermöglicht. 'Call Gates' deaktivieren allerdings nicht automatisch Interrupts, wenn diese in die Zielfunktion eingehen. Dadurch kann es aufgrund einer Race Condition (Wettlaufsituation) passieren, dass der Kernel mit aus dem Benutzerraum geladenen Registern ausgeführt wird und Interrupts aktiviert sind, wodurch Ausnahmefehler (Assumptions) in der i386- und amd64-Implementierung ausgelöst werden. Auf i386-Systemen kann dies zu einer Kernelpanik führen, auf amd64-Systemen ermöglicht es die Eskalation von Privilegien.

3) Aufgrund einer fehlenden Prüfung im Linux Compatibility Layer ('Trap Frame') ist es möglich aus dem Benutzerraum (Userland) heraus den Kernel dazu zu veranlassen 'sysret' mit einem vollständig kontrollierbaren Parameter '%rip' auszuführen, wodurch die Intel Sysret Schwachstelle (siehe NetBSD-SA2012-003, CVE-2012-0217) auf amd64-Systemen ausgenutzt werden kann.

Ein lokaler, einfach authentisierter Angreifer kann auf verschiedenen Plattformen mehrere Schwachstellen ausnutzen, um einen Denial-of-Service (DoS)-Zustand herbei- oder eine Privilegieneskalation durchzuführen oder um durch Einschleusen von Programmcode und die Ausführung desselben mit Kernelprivilegien seine Privilegien derart zu erweitern, dass er die Kontrolle über ein System vollständig übernehmen kann.

NETBSD-SA2017-004: Schwachstelle in NetBSD ermöglicht u.a. Ausspähen von Informationen

In den Grafiktreibern sbd (ews4800mips), bivideo (hpcsh), sti (hppa and hp300) und pm (pmax) von NetBSD existiert eine Schwachstelle aufgrund einer unzureichenden Überprüfung auf Speichergrenzen beim Lesen und Schreiben der Farbkarte (Colour Map). Ein an einem 'wscons'-Terminal angemeldeter Benutzer, in der Rolle als Angreifer, kann die Schwachstelle mit Hilfe der 'ioctls'-Funktionen 'WSDISPLAYIO_GETCMAP' und 'WSDISPLAYIO_PUTCMAP' ausnutzen und einen Überlauf des Pufferspeichers (Buffer Overflow) provozieren, in dessen Folge er lesend und schreibend auf den Kernelspeicher zugreifen kann. Der bivideo-Grafiktreiber ermöglicht ausschließlich lesenden Zugriff, da dieser nicht über eine beschreibbare Farbkarte verfügt. Ein lokaler, einfach authentisierter Angreifer kann Informationen ausspähen und Daten manipulieren. Die Ausführung beliebigen Programmcodes kann an dieser Stelle nicht ausgeschlossen werden.

CVE-2017-11103: Schwachstelle in Heimdal ermöglicht vollständige Kompromittierung des Dienstes

In der Heimdal-Implementierung des Kerberos 5 Network Authentication Protocols, welches zur Authentisierung eines Clients gegenüber einem Dienst dient, existiert eine kritische Schwachstelle. Aufgrund eines Programmierfehlers wird eine nicht authentisierte Klartextversion des Namens eines Key Distribution Center (KDC)-REP Dienstes aus einem Ticket akzeptiert. Ein entfernter, nicht authentisierter Angreifer kann in einem Man-in-the-Middle (MitM)-Angriff den betroffenen Dienst vollständig kompromittieren.

CVE-2017-10972: Schwachstelle in X.Org-Server ermöglicht Ausspähen von Informationen

Eine Schwachstelle im X.Org-Server vor der Version, die am 19.06.2017 erstellt wurde, basiert auf der Verwendung nicht initialisierter Daten im Kontext einer Zeichenkonvertierung im Zuge der XEvent-Behandlung. Ein entfernter, einfach authentisierter Angreifer kann die Schwachstelle ausnutzen und Zugriff auf privilegierte Daten des X.Org-Servers erhalten.

CVE-2017-10971: Schwachstelle in X.Org-Server ermöglicht Privilegieneskalation

Eine Schwachstelle im X.Org-Server vor der Version, die am 19.06.2017 erstellt wurde, basiert auf einem Pufferüberlauf auf dem Stack ausgelöst durch eine Zeichenkonvertierung im Zuge der XEvent-Behandlung. Der Pufferüberlauf kann von einem entfernten, einfach authentisierten Angreifer ausgenutzt werden, um den X.Org-Server zum Absturz zu bringen oder beliebigen Programmcode im Kontext des X.Org-Servers auszuführen und damit eine Privilegieneskalation zu bewirken.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.