Eine Sicherheitslücke in der Stunnel-Applikation hat zur Folge, dass ein entfernter Angreifer Befehle mit höheren Rechten ausführen kann. Weiter kann er auch
Denial-of-Service-Attacken gegen das Stunnel-System ausführen und an sensitive Information gelangen.
Die Schwachstelle lässt sich aber nur ausnutzen, wenn alle der folgenden Bedingungen erfüllt sind:
- Stunnel-Version 4.21 bis 4.54 wird verwendet,
- Die Applikation ist als 64-Bit-Executable übersetzt; alle 32-Bit sind nicht anfällig für das Problem,
- Stunnel wird im SSL-Client-Mode ausgeführt (“client = yes”),
- CONNECT-Protocol-Negotiation ist aktiviert (“protocol = connect”)
- NTML-Authentifikation ist aktiviert (“protocolAuthentication = NTLM”)
- Der Angreifer hat Kontrolle über einen Proxy-Server, der via “connect” spezifiziert ist. Alternative kann er auch Man-in-the-Middle-Attacken gegen TCP-Sessions zwischen Stunnel und einem Proxy-Server ausführen
Der verantwortliche Programmierfehler befindet sich in dem NTML-Authentifikation-Code in der CONNECT-Protocol-Negotiation. Problematisch ist hier ist ein Integer-Umwandlungsfehler, der dann Buffer-Overflow-Attacken ermöglicht. Der Code des Angreifers wird innerhalb des voreingestellten chroot-Verzeichnisses mit den Rechten des konfigurierten Benutzers/Gruppe ausgeführt.

