CERT: Buffer Overflow in SNMP-Protokoll

Ein ungeprüfter Puffer im Simple Network Management Protocol (SNMP) beschäftigt derzeit die Hersteller von Hardware und Software gleichermaßen. Lässt ein Angreifer den Puffer überlaufen, kann es zum DoS oder zum Ausführen von Code kommen.

Das Simple Network Management Protocol (SNMP) steckt abgesehen von Windows ME beispielsweise in allen Windows-Versionen, ist standardmäßig aber nicht installiert und damit auch nicht aktiviert. Mit Microsoft ist aber nur ein Anwender des Industriestandards SNMP betroffen. Die Liste der Unternehmen, die laut CERT informiert wurden und an der Überprüfung der Lücke arbeiten, liest sich wie das Who-is-Who des Internet- und Netzwerkgeschäfts. Unter anderem werden Cisco, Avaya, 3Com, Computer Associates und Caldera genannt. Die meisten Genannten müssen gestehen, dass einige oder alle Ihrer Produkte betroffen sind.

Über das TCP/IP-basierte Protokoll lassen sich im Sinne des Erfinders diverse Informationen von Geräten in einem Netzwerk abfragen, zum Beispiel die IP- oder MAC-Adresse. Die Abfrage kann über eine manipulierte Eingabe von einem Angreifer für eine DoS-Attacke genutzt werden. Der ungeprüfte Puffer steckt in der Routine, die für die Anfragen-Bearbeitung zuständig ist. Letztlich lässt sich damit auch Code ausführen.

Benutzer, die SNMP einsetzen, sollten sich bei den jeweiligen Herstellern ihrer Hard- und Software wegen Patches informieren. Die vom CERT zusammengestellte Liste mit Aussagen der Firmen zu dem Problem kann als erster Anhaltspunkt dienen.

Im Falle von Microsoft steckt das SNMP in allen Windows-Versionen ab 9x (ausgenommen Windows ME). Der Software-Konzern hält das Problem für wenig risikoreich: Zum einen sei der Dienst in Windows standardmäßig nicht aktiviert, zum anderen sei bei empfohlenen Firewall-Einstellungen der Port (161, 162), über den SNMP-Anfragen eingehen, geschlossen. Damit sei der Bug auf das Intranet hinter der Firewall beschränkt. Letztlich hält Microsoft das SNMP-Protokol von vorneherein für unsicher. Unter Administratoren wird SNMP wegen Sicherheitsbedenken gerne als Abkürzung für Security Not My Problem gehandelt. Wer SNMP unter Windows nutzt, solle den Dienst bis zur Veröffentlichung des Patches abschalten. Wie das funktioniert, verrät Microsoft im zugehörigen Bulletin MS02-006. Dort finden sich auch weitere Informationen zur Lücke und nach der Fertigstellung auch Links zum Patch. (uba)