<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 11 (filtered medium)">

<style>

<!--

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:Arial;

        color:windowtext;}

@page Section1

        {size:595.3pt 841.9pt;

        margin:72.0pt 90.0pt 72.0pt 90.0pt;}

div.Section1

        {page:Section1;}

-->

</style>

<!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]-->

</head>

<body lang=EN-GB link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>----------------------------------------------------------------------<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>IRM Security Advisory 024<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Cisco IOS LPD Remote Stack

Overflow<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>&nbsp;<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Vulnerability Type /

Importance: Remote Code Execution / High<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Problem Discovered: 30 July

2007<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Vendor Contacted: 30 July

2007<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Advisory Published: 10

October 2007<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>----------------------------------------------------------------------<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Abstract:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>The LPD daemon included in

Cisco IOS is vulnerable to a remote stack overflow<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Description:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>The Line Printer Daemon,

which provides print server functionality in Cisco IOS is vulnerable to a

software flaw whereby the length of the hostname of the router is not checked

before being copied into a fixed size memory buffer. This results in IOS crashing

if the hostname is too long, but could potentially result is arbitrary code

execution. However, the attacker must be able to control the hostname of the

router, which<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>could be achieved via

SNMP.&nbsp;&nbsp; <o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Technical Details:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>When the LPD daemon is

configured in Cisco IOS it listens on the default LPD TCP port, 515. If

connected to with a source TCP port of anything other than 515 the following

error is displayed:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>$ telnet 172.30.3.101 515<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Trying 172.30.3.101...<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Connected to 172.30.3.101

(172.30.3.101).<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Escape character is '^]'.<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>hostname_of_the_router:

/usr/lib/lpd: Malformed from address<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>If the hostname is 99

characters or longer then the overflow occurs as the result of a call to the

sprintf() function. Although this is technically a stack overflow, because IOS

allocates heap memory for process stacks, the memory overwritten is actually

heap. However, as the heap memory is acting as a stack, the return address,

stored before the start of the character buffer, can be overwritten by the

hostname when the overflow occurs, but for some reason the crash doesn't occur

until the buffer intrudes into the &quot;red zone&quot; at the boundary of the

heap chunk. Therefore, when the crash happens and the router reboots, the

memory dump indicates heap corruption.<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>It must be reiterated that

control of the hostname is required to exploit this vulnerability. If SNMP is

running on the device and the &quot;read/write&quot; community string is known

(this is often set to the default value &quot;private&quot;) then the hostname

can be set as follows:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>$ snmpset -Os -c private -v

1 10.0.0.1 system.sysName.0 s long_hostname<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Vendor &amp; Patch

Information:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Cisco has released an update

to resolve this issue; this can be downloaded from:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><a

href="http://www.cisco.com/warp/public/707/cisco-sr-20071010-lpd.shtml">http://www.cisco.com/warp/public/707/cisco-sr-20071010-lpd.shtml</a><o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>&nbsp;<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Workaround:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Cisco has provided the

following workaround to mitigate this<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>vulnerability:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><a

href="http://www.cisco.com/warp/public/707/cisco-sr-20071010-lpd.shtml">http://www.cisco.com/warp/public/707/cisco-sr-20071010-lpd.shtml</a><o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Tested/Affected Versions:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>IRM identified this

vulnerability in IOS version 12.3(22)<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Credits:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Research &amp; Advisory:

Andy Davis<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>Disclaimer:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>All information in this

advisory is provided on an 'as is' basis in the hope that it will be useful.

Information Risk Management Plc is not responsible for any risks or occurrences

caused by the application of this information.<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><a href="www.irmplc.com">www.irmplc.com</a><o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

</body>

</html>