Дыры есть, их не может не быть
В трудовой жизни каждого сетевика наступает однажды тот “светлый” момент, когда те или иные обстоятельства заставляют его задуматься о проблемах безопасности своего компьютерно-сетевого хозяйства. Условно эти обстоятельства можно разделить на 2 категории: объективное повышение требований к защищенности ресурсов и то, что констатирует поговорка “пока гром грянет, мужик не перекрестится”. Первая ситуация наступает тогда, когда для некоторой организации сеть (во всех ее ипостасях и модификациях) превращается в реальный инструмент увеличения прибыльности компании и любой срыв в ее работее чреват серьезными финансовыми потерями — как прямыми (ISP, e-shopping, банковская сфера), так и косвенными (многие другие отрасли). Во втором случае мысли об ужесточении мер в области безопасности приходят, когда кто-то — будь то злоумышленник извне или пакостный (а то и просто нерадивый) локальный пользователь — уже нанес ущерб сетевому хозяйству компании. Причем что характерно: существенного ущерба при этом могло и не быть нанесено, но ощущение от вторжения остается самым мерзопакостным — как после незаконного вторжения в квартиру, даже если повреждения имуществу и личности нанесено не было. Из чего делаем вывод: наиболее рациональная позиция в вопросе безопасности — хотя бы на шаг опережать в своей подозрительности насущные требования по безопасности, а в осведомленности — потенциального злоумышленника.
Разумеется, каждый уважающий себя производитель сетевого железа и ПО старается делать все, чтобы их продукт отвечал самым передовым нормам по защищенности и отказоустойчивости, но судите сами: 1. на каждую старуху бывает проруха (а то и две;) 2. понятия “передовой, современный” применительно к данной отрасли... сами понимаете...;)
Таким образом, в приобретенном вами сегодня ПО уже завтра могут обнаружить серьезную дыру, позволяющую злоумышленнику от души поглумиться над плодом ваших трудов — веб-сервером, информационной системой, утащить интересную и нужную информацию, вывести сеть из строя и др. К тому же следует иметь в виду — и я об этом уже вскользь упоминала выше, — такого рода ущерб в некоторых случаях может быть нанесен и пользователем, не имевшим ни достаточных знаний, ни зловредных намерений. Поэтому на производителя железа и ПО надейся, но и сам не плошай.
Исходя из анализа траффика наиболее авторитетного в данной области листа рассылки BUGTRAQ, умельцы ежедневно пяток, а то и десяток разнообразных дыр, ляпсусов в умолчательной конфигурации сетевого железа и ПО. Как знать, может быть, сегодня в списке потенциальных жертв, использующих это железо/ПО, окажетесь и ВЫ?
В этом номере я предприняла попытку осветить некоторую (ничтожно малую) часть обнаруженных за последние месяцы дыр. Критерием отбора служили 2 субъективных фактора — предполагаемая популярность данных продуктов в наших краях и степень реальной опасности атак, использующих эти дыры. Да, вероятнее всего лично вас конкретно эти проблемы и не касаются, но этот материал преследует скорее ознакомительную цель — а что вообще теоретически может быть? Впоследствии в рамках этой рубрики я предполагаю освещать лишь наиболее важные, общего характера проблемы, наиболее опасные дыры. Что касается текущей информации, отсылаю я вас к следующим источникам — веб-сайт SecurityFocus (http://www.securityfocus.com/) и упомянутый выше лист рассылки BUGTRAQ (см. на http://www.securityfocus.com/ — в разделе forums).
Netscape Enterprise & FastTrack Authentication Buffer Overflow Vulnerability
Тип атаки:удаленная
Дата публикации:03.12.1999
Уязвимы:
Netscape Enterprise Server 3.6SP2
Netscape Enterprise Server 3.6
Netscape Enterprise Server 3.51
— Sun Solaris 2.5.1
— SGI IRIX 6.2
— Microsoft Windows NT 4.0
— IBM AIX 4.1.5
— HP HP-UX 10.10
— Digital UNIX 4.0D
Netscape FastTrack Server 3.0.1
Описание проблемы:Некоторые версии нетскейповских веб-серверов под платформы UNIX и NT содержат ошибку, позволяющую удаленному атакующему вызвать переполнение буфера на сервере. Эта ошибка характерна как для самого веб-сервера, так и для его административного модуля (administration server). Из-за проблем в реализации стандартной процедуры авторизации доступа HTTP переполнение буфера происходит в случае, когда длина введенных имени пользователя или пароля превышает 508 символов. Результатом такой атаки может стать зависание веб- и административного серверов, а также получение атакующим привилегий root’а под UNIX или system под NT.
Решение:рекомендуется замена уязвимой версии веб-сервера на новую (3.63) и закрытие доступа извне к вашему административному модулю.
Mdaemon WebConfig Overflow DoS Vulnerability
Дата публикации:29.11.1999
Уязвимы:
Alt-N Mdaemon 2.8.50
— Microsoft Windows 98
— Microsoft Windows 95
— Microsoft Windows NT 4.0
Описание проблемы:Почтовый сервер Mdaemon для Windows содержит в поставке маленький веб-сервер для удаленного администрирования через веб. Этот веб-сервер уязвим за счет ошибки буфера приема входящих GET запросов HTTP. Очень длинный URL, посланный на сервис WebConfig (порт 2002), приводит к зависанию сервиса.
Пример эксплойта:http://www.securityfocus.com/data/vulnerabilities/exploits/Mdeam285.exe
Решение:Компания-производитель — Alt-N — выпустила патч, доступный по адресу: http://www.mdaemon.com/helpdesk/hotfix.htm
Cabletron SSR ARP Flood DoS Vulnerability
Типы атак: локальная, удаленная
Дата публикации:24.11.1999
Уязвимы:
Cabletron SmartSwitch Router 8000 firmware 2.x
Описание проблемы:Данный маршрутизатор подвержен опасности атаки типа “отказ в обслуживании” (DoS attack) за счет невозможности обработки более 200 ARP-запросов в секунду. Если атакующий имеет возможность обмениваться ICMP-траффиком с маршрутизатором, есть возможность завалить маршрутизатор потоком ARP-запросов, что приведет к выводу его из строя на время проведения атаки.
Решение:Новая версия ПО данного маршрутизатора — firmware revisions 3.x — не уязвима для данного типа атак. Получить ее можно по следующему адресу:http://www.cabletron.com/download/download.cgi?lib=ssr
Serv-U FTP Server SITE PASS DoS Vulnerability
Типы атак:удаленная, локальная
Дата публикации:07.12.1999
Уязвимы:
- Cat Soft Serv-U 2.5a
- Microsoft Windows 3.1
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
Не уязвимы:
Cat Soft Serv-U 2.5b
— Microsoft Windows 3.1
— Microsoft Windows 98
— Microsoft Windows 95
— Microsoft Windows NT 4.0
Описание проблемы:Ftp-сервер Serv-U зависает при получении необычно длинной строки в качестве аргумента команды SITE PASS. Для осуществления данной атаки пользователь должен залогиниться на ftp-сервер в качестве любого пользователя, в том числе anonymous.
Пример эксплойта:http://www.securityfocus.com/data/vulnerabilities/exploits/dieserv.zip
Решение:Выпущена версия 2.5b, не уязвимая для данного типа атак. Она доступна на веб-странице производителя по адресу: http://ftpserv-u.deerfield.com/download.cfm
Linux Packet Length with Options Vulnerability
Тип атаки:локальная
Дата публикации:13.12.1999
Уязвимы:
Debian Linux 2.1
Linux kernel 2.0.38
Linux kernel 2.0.37
Linux kernel 2.0.36
linux kernel 2.0.35
Linux kernel 2.0
RedHat Linux 5.2
not vulnerable
Linux kernel 2.3
Linux kernel 2.2
Описание проблемы:Ошибка в реализации стека tcp/ip в некоторых ядрах Linux позволяет локальным пользователям завесить либо повредить систему. Это возможно сделать, послав пакет с опциями, превышающими максимальный размер IP-пакета. Простой способ сгенерировать такой пакет — использовать команду ping —s 65468 —R x.x.x.x, где х.х.х.х — любой IP-адрес, а —R — опция записи маршрута. На ядрах ниже 2.2.х такая команда не сработает с выдачей ошибки: "message too long” (на практике было проверено, что на ядре 2.0.36 команда действительно не срабатывает, но описание ошибки звучит несколько по-другому: “ping: record route: Invalid argument”.
По-видимому, данная дырка является результатом того, что кернел не проверяет, является ли пакет с опциями длиннее максимального размера пакета. И, по-видимому, такой длинный пакет приводит к повреждению содержимого памяти.
Пример эксплойта:http://www.securityfocus.com/data/vulnerabilities/exploits/iplenght.c
Решение:Патч доступен по адресу ftp://ftp.us.kernel.org/pub/linux/kernel/people/andrea/patches/v2.0/2.0.38/ip-opt-1.gz
Novell Client Denial of Service Vulnerability
Тип атаки: удаленная
Дата публикации:13.10.1999
Уязвимы:
Novell Client 3.0.1
Novell Client 3.0
Описание проблемы:Клиенты Novell версий 3.0 и 3.01 для Windows-платформы уязвимы для удаленных атак типа “отказ в обслуживании”. Клиент открывает на прослушивание tcp-порт номер 427, при посылке в который SYN-запроса машина зависает (“синий экран”) и выводится из этого состояния только reset’ом.
Более подробное описание этой дыры смотрите на сайтеhttp://support.novell.com. Номер документа TID (Technical Information Document), освещающего данную проблему — 2948363
Пример атаки:nmap -sS -p 427 <target>, где <target> — адрес атакуемого хоста.
Решение:Эта ошибка исправлена в новой версии клиента — 3.1, который можно скачать по адресу: http://www.novell.com/download/
Qualcomm qpopper Remote Buffer Overflow Vulnerability
Тип атаки:удаленная
Дата публикации:30.12.1999
Уязвимы:
Qualcomm qpopper 3.0b20
Qualcomm qpopper 3.0
Не уязвимы:
Qualcomm qpopper 2.53
Qualcomm qpopper 2.52
Qualcomm qpopper 2.4
Описание проблемы:Ошибка переполнения буфера в новых (3.х) версиях POP3-сервера от Qualcomm. Данная дырка дает возможность удаленному атакующему получить root’овские привилегии на хосте с уязвимым qpopper’ом. Корни проблемы лежат в исходнике pop_msg.с в районе 68-й строки, в результате чего функции vsprintf() или sprintf() вызываются без проверки диапазона допустимых значений.
Примеры эксплойтов:
http://www.securityfocus.com/data/vulnerabilities/exploits/qpopper3exp.c
http://www.securityfocus.com/data/vulnerabilities/exploits/qpop.sh
http://www.securityfocus.com/data/vulnerabilities/exploits/qpop.pl
Решение:Обновите версию qpopper’а. Новая версия — qpopper3.0b22 доступна по адресу: ftp://ftp.qualcomm.com/eudora/servers/unix/popper/
RSAREF Buffer Overflow Vulnerability
Типы атак:локальная, удаленная
Дата публикации:02.12.1999
Уязвимы:
RSA Security RSAREF 2.0
+ SSH Communications Security SSH 1.2.9
+ SSH Communications Security SSH 1.2.8
+ SSH Communications Security SSH 1.2.7
+ SSH Communications Security SSH 1.2.6
+ SSH Communications Security SSH 1.2.5
+ SSH Communications Security SSH 1.2.4
+ SSH Communications Security SSH 1.2.3
+ SSH Communications Security SSH 1.2.27
+ SSH Communications Security SSH 1.2.26
+ SSH Communications Security SSH 1.2.25
+ SSH Communications Security SSH 1.2.24
+ SSH Communications Security SSH 1.2.23
+ SSH Communications Security SSH 1.2.22
+ SSH Communications Security SSH 1.2.21
+ SSH Communications Security SSH 1.2.20
+ SSH Communications Security SSH 1.2.2
+ SSH Communications Security SSH 1.2.19
+ SSH Communications Security SSH 1.2.18
+ SSH Communications Security SSH 1.2.17
+ SSH Communications Security SSH 1.2.16
+ SSH Communications Security SSH 1.2.15
+ SSH Communications Security SSH 1.2.14
+ SSH Communications Security SSH 1.2.13
+ SSH Communications Security SSH 1.2.12
+ SSH Communications Security SSH 1.2.11
+ SSH Communications Security SSH 1.2.10
+ SSH Communications Security SSH 1.2.1
+ Robert O'Callahan TTSSH 1.5.1
+ Robert O'Callahan TTSSH 1.5
+ Robert O'Callahan TTSSH 1.4
+ Robert O'Callahan TTSSH 1.3
+ Robert O'Callahan TTSSH 1.2
+ Robert O'Callahan TTSSH 1.1
Не уязвимы:
OpenSSL Project OpenSSL 0.9.4
SSLeay SSLeay 0.9.1
Описание проблемы:В криптографической библиотеке RSAREF присутствует ошибка переполнения буфера, что делает уязвимым любое ПО, использующее эту библиотеку.
Ошибка присутствует в четырех функциях в исходнике rsa.c —
int RSAPublicEncrypt()
int RSAPrivateEncrypt()
int RSAPublicDecrypt()
int RSAPrivateDecrypt()
Все эти функции определяют локальную переменную pkcsBlock с длиной 128 бит, которая может быть переполнена с созданием возможности исполнения arbitrary code.
Пример эксплойта(ssh-клиент 1.2.27)
http://www.securityfocus.com/data/vulnerabilities/exploits/ssh-rsa.diff
Решение:Компания RSA Security прекратила поддержку библиотеки RSAREF.
CORE SDI выпустила патч к библиотеке RSAREF, который вы можете получить по адресу: http://www.securityfocus.com/data/vulnerabilities/patches/rsaref2.patch. Скопируйте этот патч в файл с названием rsaref2.patch в директорию rsaref2/source и примените с помощью команды “patch
<rsaref2.patch”
SCO UnixWare 'xauto' Buffer Overflow Vulnerability
Тип атаки:локальная
Дата публикации:04.12.1999
Уязвимы:
SCO Unixware 7.1.1
SCO Unixware 7.1
SCO Unixware 7.0.1
SCO Unixware 7.0
Описание проблемы:Некоторые версии SCO Unixware поставляются с версией /usr/X/bin/xauto, уязвимой к атаке с переполнением буфера, в результате которой атакующий может получить привелегии root’а на атакуемом хосте.
Пример эксплойта:http://www.securityfocus.com/data/vulnerabilities/exploits/uwxauto.c
Решение:На данный момент однозначного решения проблемы не найдено. Следите за новостями на сайте разработчика.
SCO Unixware pkginstall/pkgcat Buffer Overflow
Vulnerabilities
Тип атаки:локальная
Дата публикации:06.12.1999
Уязвимы:
SCO Unixware 7.1
Описание проблемы:Имеется возможность просмотра содержимого файла /etc/shadow в результате переполнения буфера в пакетах pkgcat и pkginstall.
Несмотря на то, что ни один из этих бинарников не является setuid’ным, права, данные им в etc/security/tcb/privs, дают возможность читать файл /etc/shadow. Когда данные переполненного буфера попадают в программы в качестве аргумента argv[1], происходит повреждение стека и появляется возможность spawn программу, которая выведет содержимое shadow.
Примеры эксплойтов:
http://www.securityfocus.com/data/vulnerabilities/exploits/uwpkgcat.c
http://www.securityfocus.com/data/vulnerabilities/exploits/uwpkgi.c
Решение:Временным решением проблемы является удаление записей из /etc/security/tcb/privs.
SCO Unixware Privileged Program Debugging Vulnerability
Тип атаки:локальная
Дата публикации:10.12.1999
Уязвимы:
SCO Unixware 7.1.1
SCO Unixware 7.1
SCO Unixware 7.0.1
SCO Unixware 7.0
Описание проблемы:Модель обеспечения безопасности Unixware включает концепцию привилегий. Они могут быть получены процессами для выполнения задач, которые в нормальном случае могут быть выполнены только пользователем root. Эта концепция позволяет программам выполняться с минимальными необходимыми привилегиями, а не запускаться от имени root’а. Ошибка в реализации концепции привилегий дает возможность рядовому пользователю присоединить отладчик к запущенной привилегированной программе и получить ее привилегии.
Большинство UNIX-систем, в том числе и Unixware, имеют набор ограничений относительно того, каким образом рядовые пользователи могут взаимодействовать с setuid’ными и setgid’ными процессами. Например, они не могут запустить отладку таких процессов. Реализация концепции привилегий в unixware не предусматривает такого рода защиты привилегированных программ. Таким образом, пользователь может осуществлять отладку привилегированной программы, запущенной с его UID’ом, и модифицировать его.
Когда выполняется программа, прописанная в /etc/security/tcb/privs, она получает указанные там привилегии. Атакующему только и остается, что найти программу, указанную в данном файле, привилегии которой он желал бы получить и которую он имеет право запустить.
Пример эксплойта:http://www.securityfocus.com/data/vulnerabilities/exploits/truck.c
SuSE identd Denial of Service Attack
Типы атак:локальная, удаленная
Дата публикации:23.08.1999
Уязвимы:
S.u.S.E. Linux 6.2
S.u.S.E. Linux 6.1
S.u.S.E. Linux 6.0
S.u.S.E. Linux 5.3
S.u.S.E. Linux 5.2
S.u.S.E. Linux 5.1
S.u.S.E. Linux 5.0
S.u.S.E. Linux 4.4.1
S.u.S.E. Linux 4.4
Slackware Linux 3.6
Slackware Linux 3.2
Не уязвимы:
Debian Linux 2.2pre potato
Debian Linux 2.2
Debian Linux 2.1
Debian Linux 2.0r5
Debian Linux 2.0
RedHat Linux 5.2
RedHat Linux 5.1
RedHat Linux 5.0
Описание проблемы:В некоторых дистрибутивах Linux (в частности S.u.S.E) в конфигурационном файле inetd.conf по умолчанию прописано, что демон identd запускается с опцией —w —t120. Это означает, что каждый процесс identd ждет 120 секунд после ответа на первый запрос и затем принимается за следующий. Если удаленный атакующий посылает в короткий период времени большое количество запросов к identd, это может привести к тому, что атакуемый хост запускает множество экземпляров ident-демона, поскольку первый экземпляр все еще находится в режиме 120-секундного ожидания.
Данная атака может привести к нехватке оперативной памяти на атакуемом хосте, что в свою очередь грозит остановом системы.
Пример эксплойта:http://www.securityfocus.com/data/vulnerabilities/exploits/susekill.c
——————————
Multiple Vendor BIND (NXT Oveflow & Denial of Service)
Vulnerabilities
Тип атаки:удаленная
12.11.1999
Уязвимы:
ISC BIND 8.2.1
ISC BIND 8.2
Не уязвим:
ISC BIND 8.2.2
Описание проблемы:Существует несколько дырок в последних поставках BIND (до версии 8.2.2)
Первая — это ошибка переполнения буфера, являющаяся результатом некорректной проверки BIND’ом записей NXT. Это может привести к тому, что на удаленном атакуемом хосте может быть выполнен некий код с root’овскими правами (по умолчанию BIND запускается root’ом).
Вторая — возможность атаки “отказ в обслуживании” в результате некорректной проверки правильности записей SIG. Эта дырка позволяет атакующему “подвесить” удаленный DNS-сервер.
Пример эксплойта:http://www.securityfocus.com/data/vulnerabilities/exploits/adm-bind_exp.c
Решение:Поставьте новую версию BIND — 8.2.2
Solaris snoop (GETQUOTA) Buffer Overflow Vulnerability
Типы атак:локальная, удаленная
Дата публикации:09.12.1999
Уязвимы:
Sun Solaris 7.0_x86
Sun Solaris 7.0
Sun Solaris 2.6_x86
Sun Solaris 2.6
Sun Solaris 2.5.1_x86
Sun Solaris 2.5.1_ppc
Sun Solaris 2.5.1
Sun Solaris 2.5_x86
Sun Solaris 2.5
Sun Solaris 2.4_x86
Sun Solaris 2.4
Описание проблемы:Некоторые версии solaris (2.х) поставляются с программой /usr/sbin/snoop, предназначенной для мониторинга сетевого траффика сегмента сети Ethernet, к которому принадлежит данный хост.
Эта программа подвержена удаленной атаке с вызовом переполнения буфера. Проблема проявляется, когда snoop пытается декодировать запросы GETQUOTA к RPC-демону rquotad. Слишком длинный запрос может послужить причиной переполнения буфера с возможностью исполнения кода с root’овскими правами.
Решение:Примените следующие патчи от Sun:
Solaris 7 sparc 108482-01
Solaris 7 x86 108483-01
Solaris 5.6 sparc 108492-01
Solaris 5.6 x86 108493-01
Solaris 5.5 sparc 108501-01
Solaris 5.5 x86 108502-01
Solaris 5.4 sparc 108490-01
Solaris 5.4 x86 108491-01
Solaris 5.3 sparc 108489-01
Solaris sadmind Buffer Overflow Vulnerability
Тип атак:локальная, удаленная
Дата публикации:10.12.1999
Уязвимы:
Sun Solaris 7.0_x86
Sun Solaris 7.0
Sun Solaris 2.6_x86
Sun Solaris 2.6
Sun Solaris 2.5.1_x86
Sun Solaris 2.5.1_ppc
Sun Solaris 2.5.1
Sun Solaris 2.5_x86
Sun Solaris 2.5
Описание пробелмы:Некоторые версии solaris поставляются с версией sadmind, которая содержит ошибку, позволяющую удаленному атакующему вызвать переполнение буфера на атакуемой машине. Sadmind — это демон, используемый пакетом Solstice AdminSuite для выполнения некоторых функций системного администрирования, как то добавление пользователей. Данный демон запускается inetd автоматически при поступлении соответствующего запроса.
В содержащих ошибку версиях sadmind (например 2.6 и 7.0) при поступлении большого буфера в запрос NETMGT_PROC_SERVICE создается возможность переписывания указателя стека и выполнения некоторого желаемого кода с привилегиями root’а.
Примеры эксплойтов:
http://www.securityfocus.com/data/vulnerabilities/exploits/sadminsparc.c
http://www.securityfocus.com/data/vulnerabilities/exploits/sadminx86.c
Решение:Если вам не нужен sadmind, уберите его упоминания из /etc/inetd.conf.
По умолчанию это строка должна выглядеть следующим образом:
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind
Если же он вам все-таки нужен, заблокируйте доступ к нему извне на вашем файерволле.
Lotus Notes Domino Webserver CGI Vulnerabilities
Типы атак:локальная, удаленная
Дата публикации:22.12.1999
Уязвимы:
Lotus Domino Server 4.6.x
— Microsoft Windows NT 4.0
Lotus Domino Server 4.6
- Microsoft Windows NT 4.0
Описание проблемы:Три дыры были найдены в обработке cgi веб-сервером, входящим в состав Lotus Domino Server.
1: Может быть получена информация о файловой системе.
Давая запрос на несуществующий cgi-скрипт, атакующий может получить информацию о структуре файловой системы сервера. Например:
Запрошенный URL:
http: //host.domain.com/cgi-bin/asdf
Ответ:
Error 500
Bad script request — no variation of 'c:/notes/data/domino/cgi-bin/asdf' is
executable
2: Невозможно запретить анонимный доступ.
Даже если анонимный доступ на сервер отключен, он все-таки возможен для директории cgi-bin
3: Переполнение буфера в обработке ошибок cgi
Слишком длинный URL в запросе GET в корне директории cgi-bin приводит к зависанию сервера. Похоже, что не любая длинная строка приводит к такому результату, но приведенная ниже была протестирована — работает!
'GET /cgi-bin/[800 ','][4000 'a'] HTTP/1.0'
Решение:Стандартных методов решения проблемы нет. Обратитесь к разработчику или службе поддержки.
Solaris DMI Denial of Service Vulnerabilities
Тип атаки:удаленная
Дата публикации:22.12.1999
Уязвимы:
Sun Solaris 7.0
Описание проблемы:DMI (Desktop Management Interface) — это пакет управления приложениями, поставляемый с Solaris. Каждое приложение, управляемое через DMI, имеет MIF-запись, содержащую информацию о компонентах и настройках, которая встраивается в базу данных MIF (/var/dmi/db) c помощью демона dmisp. При этом не проводится проверки на предмет того, кто именно вносит новые записи MIF; тем самым подразумевается, что это может сделать любой.
Это создает два возможных условия для DoS-атаки (“отказ в обслуживании”). Во-первых, это неограниченный захват дискового пространства в директории /var. По умолчанию нет никаких ограничений на размер базы данных DMI. В сочетании с другими дырами эта особенность может использоваться для прекращения ведения логов (системных журналов) и т.п.
Во-вторых, есть ситуация, при которой возможно осуществление атаки с переполнением буфера в dmispd при использовании определенной длины записей MIF. Это может быть простая DoS-атака, а также удаленная атака с возможностью исполнения некоторого кода под root’ом.
Пример атаки(переполнение буфера):
echo `perl -e "print 'A' x 1000"` > /usr/home/btellier/my.mif
dmi_cmd -CI../../../usr/home/btellier/my.mif
SCO Unixware i2odialogd Remote Buffer Overflow Vulnerability
Тип атаки:удаленная
Дата публикации:22.12.1999
Уязвимы:
SCO Unixware 7.1
Не уязвимы:
SCO Open Server 5.0.5
Описание проблемы:i20dialogd — это демон, представляющий собой интерфейс для управления подсистемой i20. Он поставляется со SCO Unixware и по умолчанию запускается root’ом. В его механизме аутентификации присутствует серьезная ошибка переполнения буфера. Буферы имени пользователя/пароля имеют фиксированный размер, при этом проверка выхода за границы диапазона не производится, в результате чего атакующий может переполнить буфер, повредить стек и переписать адрес возврата функции, чем будет вызвано нарушение последовательности выполнения программы и создана возможность для исполнения некого произвольного кода. Следует иметь в виду, что код эксплойта должен быть представлен в base64 при посылке оного на сервер.
Пример эксплойта:http://www.securityfocus.com/data/vulnerabilities/exploits/i2odialogd.c
Alice D. Saemonalice@nestor.minsk.by
Сетевые решения. Статья была опубликована в номере 01 за 2000 год в рубрике save ass…
