Software::Security
Sicherheitslücke in SNMP
Wie das CERT-Institut bekannt gab, hat das bekannte Überwachungs- und Verwaltungsprotokoll SNMP eine Sicherheitslücke, die einen Angriff erlaubt.
Durch eine mittlerweise sehr verwässerte Implementierung des SNMP-Protokolls durch viele Hersteller ist es auf manchen Systemen möglich, die zur Kommunikation zwischen einem Agent und Manager genutzten Status-Meldungen als Angriffsmethode zu nutzen. Dies kann abhängig von einer Implementierung und vom System entweder zur Störung des Systems, buffer overflows bis hinzu einem kompletten Absturz des Rechners führen. Betroffen ist Version 1 des SNMP-Protokolls, das aber von den meisten Implementierungen immer noch standardmäßig unterstützt wird.
Eine einheitliche Methode zur Behebung oder Abschottung des Systems steht noch nicht parat. Abhängig vom Hersteller nennt CERT aber Möglichkeiten, das eigene System zu schützen. Die einfachste ist das Ändern der »Community-Strings«, quasi der Paßwörter von SNMP von den Standard-Einstellungen »public« und »private« auf etwas anderes. Diese werden zwar immer noch im Klartext übertragen, aber das ist nur dort eine Gefahr, wo Netzwerk-Sniffer mithören können.
SNMP steht für Simple Network Management Protocol und wurde als Protokoll für Netzmanagement-Dienste in TCP/IP-Netzen entwickelt. Das Protokoll stellt eine Methode der Überwachung und Verwaltung eines Rechnernetzes dar. Inzwischen hat sich der Anwendungsbereich von SNMP um System- und Application-Management erweitert. Die Management-Software folgt dem konventionellen Client-Server-Modell. Die Anwendung auf dem Rechner des Managers übernimmt die Rolle des Clients (Manager). Der Server ist die Anwendung in einem Netzgerät (Agent). SNMP definiert genau, wie Manager und Agent miteinander kommunizieren und wie das Format der Anfragen, das Format der Antworten und die Bedeutung der Anfragen und Antworten zu interpretieren ist.
Die vom CERT veröffentlichte Sicherheitslücke ist nach Meinung der Experten auf jedem System anzutreffen, welches das Protokoll unterstützt und einbindet. Microsoft rät allen Benutzern, die das Protokoll unter Windows nutzen, die Funktionalität abzuschalten. *BSD-Systeme installieren standardmäßig keinen SNMP-Agenten, für die Ports-Kollektionen wird es Updates geben. Für Solaris sollen in Kürze Patches veröffentlicht werden.
Von den freien Implementierungen von SNMP (NET-SNMP und CMU-SNMP), die unter Linux gebräuchlich sind, scheint nur NET-SNMP (das frühere UCD-SNMP) betroffen zu sein. In Version 4.2.3 sind die Probleme behoben, wer eine ältere Version einsetzt, sollte updaten. Die betroffenen Distributionen haben bereits angefangen, Updates bereitzustellen.
