Дыры есть, их не может не быть ;)
DoS дыра в Microsoft IIS Front Page Server Extension
тип: локальная и удаленная
опубликована 22 декабря 2000
дополнена 22 декабря 2000
уязвимые продукты:
— Microsoft IIS 5.0 + Microsoft Windows NT 2000
— Microsoft IIS 4.0
— Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5
— Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0
— Microsoft Windows NT 4.0
Microsoft IIS совместно с Front Page Server Extensions (FPSE) предоставляют возможность изменять содержимое веб-страниц удаленно и локально.
Когда FPSE обрабатывает веб-формы, IIS может выдать отказ в доступе (DoS). Это случается, если в запросе находятся некорректные данные. В результате этого IIS перестает отвечать на запросы. Перезапуск сервиса возвращает все на свои места. Все это возможно, если у вас установлен FPSE.
По данному случаю Microsoft выпустила следующие патчи:
• Microsoft IIS 5.0:
Microsoft patch Q280322_W2K_SP2_ x86_en
http://download.microsoft.com/download/ win2000platform/Patch/q280322/NT5/EN-US/Q280322_W2K_SP2_x86_en.EXE
• Microsoft IIS 4.0:
Microsoft patch Q280322i
http://download.microsoft.com/download/winntsrv40/Patch/q280322/NT4/EN-US/Q280322i.EXE
Дыра в Microsoft Windows 2000 Directory Services Restore Mode
возможность использования пустого пароля
тип: локальная
опубликована 22 декабря 2000
дополнена 22 декабря 2000
уязвимые продукты:
— Microsoft Windows NT 2000 Server, Microsoft Windows NT 2000 Advanced Server
неуязвимые продукты:
— Microsoft Windows NT 2000 Workstation
Во время процесса загрузки W2K-Server вам предоставляется возможность, как администратору, восстановить поврежденную конфигурацию системы. В данном случае пустой пароль проходит на ура в режиме "Directory Service Restore Mode". Это дает возможность любому пользователю войти в "Directory Service Restore Mode" с привилегиями администратора, что, согласитесь, не очень хорошо. Если у вас под данным произведением Microsoft оказался целый домен, настоятельно рекомендую пофиксить данную дыру, в противном случае вашему домен-контроллеру можно будет "помохать ручкой", если очень грамотный пользователь или какой нибудь сисадмин попытается воспользоваться этой дырой со злым умыслом.
Microsoft выпустила патчи, устраняющие данную дыру. Данный патч включает в себя утилиту SETPWD, которая позоляет изменять значения "Directory Service Restore Mode" и пароль "Recovery Console".
Синтакис: SETPWD [/s:servername]
• Microsoft Windows NT 2000 Server:
— Microsoft patch Q271641_W2K_SP2_ x86_en
http://download.microsoft.com/download/win2000platform/Patch/q271641/NT5/EN-US/Q271641_W2K_SP2_x86_en.EXE
• Microsoft Windows NT 2000 Advanced Server:
— Microsoft patch Q271641_W2K_SP2_ x86_en
http://download.microsoft.com/download/win2000platform/Patch/q271641/NT5/EN-US/Q271641_W2K_SP2_x86_en.EXE
Denial of Service дыра в Alt-N MDaemon 3.5.0
тип: локальная и удаленная
опубликована 19 декабря 2000
дополнена 21 декабря 2000
уязвимые продукты:
— Alt-N Mdaemon 3.5.0 для Microsoft Windows 98, Microsoft Windows 95, Microsoft Windows NT 4.0, Microsoft Windows NT 2000.
неуязвимые продукты:
— Alt-N Mdaemon 3.5.1 для Microsoft Windows 98, Microsoft Windows 95, Microsoft Windows NT 4.0, Microsoft Windows NT 2000.
MDaemon — это популярный email-сервер, поддерживающий множество почтовых протоколов, выпускаемых фирмой Alt-N Technologies.
Так, собственно, на чем же затыкается MDaemon? Если продлжительно долго слать последовательность "\r\n" в порт 143, это приведет к краху сервера. А значит не будет доступа и к портам с номерами 25, 110 и 366. Только повторный перезапуск спасет в данном случае. На что Alt-N Technologies предлагает апгрейд до MDaemon 3.5.1
http://mdaemon.deerfield.com/download/getmdaemon.cfm
Переполнение буферв в BSD ftpd
тип: удаленная
опубликована 18 декабря 2000
дополнена 22 декабря 2000
уязвимые продукты:
— NetBSD NetBSD 1.5, NetBSD NetBSD 1.4.2, NetBSD NetBSD 1.4.1, NetBSD NetBSD 1.4, OpenBSD OpenBSD 2.8, OpenBSD OpenBSD 2.7, OpenBSD OpenBSD 2.6, OpenBSD OpenBSD 2.5, OpenBSD OpenBSD 2.4
неуязвимые продукты:
— FreeBSD FreeBSD 4.2, FreeBSD FreeBSD 4.1.1, FreeBSD FreeBSD 4.1, FreeBSD FreeBSD 4.0, FreeBSD FreeBSD 3.5, FreeBSD FreeBSD 3.4, FreeBSD FreeBSD 3.3, FreeBSD FreeBSD 3.2
Ftp-сервер от BSD 4.x имеет серьезную дыру, которая может привести к получению прав root'a. Это достигается из-за переполнения в функции replydirname(). Что же происходит: атакующий записывает Null байт за границей буфера, и в результате младший байт сохраняется в качестве базового указателя. В результате значение указателя уменьшается (от данного положения к более высшему (или меньшему адресу) в стеке), который возвращает функция replydirname(), и измененное значение сохраняется в регистре базового указателя. И если базовый указатель null, то возвращенный адрес на самом деле не является реальным адресом.
Эта дыра дает возможность атакующему вмешиваться в данные пользователей и выполнять инструкции от root'a. Данная дыра работоспособна только на анонимных ftp-серверах при наличии директорий, в которые можно писать (например "incoming").
Работоспособный эксплойт можно взять по адресу: http://www.securityfocus. com/data/vulnerabilities/exploits/7350oftpd.tar.gz
Для OpenBSD патч для последней версии ftpd. Для NetBSD патч для версий 1.4.3 и 1.5. Также рекомедуют для апгрейда 1.4.2 или более старых версий один из патчей.
• NetBSD NetBSD 1.5:NetBSD patch 1.5 20001220-ftpd-1.5
ftp://ftp.NetBSD.ORG/pub/NetBSD/misc/security/patches/20001220-ftpd-1.5
А вот так вот накладывается патч и пересобирается ftpd:
# cd /usr/src/libexec/ftpd
# patch < 20001220-ftpd
# make cleandir
# make depend
# make
# make install
• OpenBSD OpenBSD 2.8:
— OpenBSD patch 005_ftpd.patch
http://www.securityfocus.com/data/vulnerabilities/patches/005_ftpd.patch
Накладываем патч:
cd /usr/src
patch -p0 < 005_ftpd.patch
И пересобираем ftpd:
cd libexec/ftpd
make obj
make depend
make
make install
Oracle WebDB PL/SQL Proxy Access Vulnerabililty
тип: удаленная
опубликована 19 декабря 2000
дополнена 27 декабря 2000
уязвимые продукты:
— Oracle Internet Application Server 3.0.7 and Previous: Sun Solaris 8.0, Sun Solaris 7.0, Sun Solaris 2.6, Sun Solaris 2.5.1, S.u.S.E. Linux 7.0, S.u.S.E. Linux 6.4, RedHat Linux 7.0, RedHat Linux 6.2 i386, Debian Linux 2.2
Oracle WebDB — часть Oracle Internet Application Server'a, выпускаемого корпорацией Oracle. Проблема заключается в возможности несанкционированного доступа к запрещенным ресурсам.
Проблема в возможности работать с базой данных через HTTP. При посылке определенных запросов HTTPD, удаленные пользователи могут получать необходимую информацию, к примеру DAD-имена. В дополнении к получению DAD-имен, есть возможность манипулировать данными через веб-интерфейс, используя SQL-запросы. В результате мы получаем, что пользователь со злым умыслом посылает запросы базе данных и оперирует данными на свой вкус.
Для решения данной проблемы солюшна пока что нет.
DoS дыра в Cisco Catalyst ssh Protocol Mismatch
тип: удаленная
опубликована 13 декабря 2000
дополнена 17 декабря 2000
уязвимые продукты:
— Cisco Catalyst 4000 6.1(1b), 6.1(1a), 6.1(1);
— Cisco Catalyst 5000 6.1(1b), 6.1(1a), 6.1(1);
— Cisco Catalyst 6000 6.1(1b), 6000 6.1(1a), 6.1(1)
неуязвимые продукты:
— Cisco Catalyst 4000 6.1(1c), Cisco Catalyst 5000 6.1(1c), Cisco Catalyst 6000 6.1(1c)
Cisco Catalyst — серия высокоскростных коммутаторов, которые обычно используются в локальных сетях.
В программном обеспечении версий 6.1(1), 6.1(1a) and 6.1(1b) для устройств Catalyst 4000, 5000 и 6000 с поддержкой SSH и криптованием 3DES обнаружена дыра, позволяющая атакующему получить отказ доступа.
При подключении к SSH-сервису на уязвимом Catalyst'е и при возникновении ошибки "protocol mismatch", устройство обресечивается (забавный аналог англоязычного "resets" — прим. ред.;). В результате устройство не пропускает трафик.
Вот список образов ПО, которые имеют данную дыру: cat4000-k9.6-1-1.bin, cat5000-sup3cvk9.6-1-1a.bin, cat5000-sup3k9.6-1-1.bin, cat5000-supgk9.6-1-1.bin, cat6000-sup2cvk9.6-1-1b.bin, cat6000-sup2k9.6-1-1b.bin, cat6000-supcvk9.6-1-1b.bin, cat6000-supk9.6-1-1b.bin
SSH-сервис по умолчанию не доступен, но можент быть включен по желанию администратора. Эта дыра доступна только на системах, где возможен дступ к SSH.
Для нормальной работы используйте правильный SSH-клиент на уязвимом Catalyst'е (telnet, netcat, web-браузер и т.д.).
Эта дыра исправлена в ПО версии 6.1(1c).
— Cisco Catalyst 4000 6.1(1b): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 4000 6.1(1a): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 4000 6.1(1): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 5000 6.1(1b): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 5000 6.1(1a): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 5000 6.1(1): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 6000 6.1(1b): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 6000 6.1(1a): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 6000 6.1(1): Cisco upgrade Catalyst Release 6.1(1c)
DoS дыра в Cisco Catalyst вызывающая Memory Leak
тип: неизвестен
опубликована 6 декабря 2000
дополнена 7 декабря 2000
уязвимые продукты:
— Cisco Catalyst 4000 5.5(1), 5.5, 5.4(3), 5.4(2), 5.4(1), 5.4, 5.2(7), 5.2(6), 5.2(5), 5.2(4), 5.2(2), 5.2(1a), 5.2(1), 5.2, 5.1(2a), 5.1(1a), 5.1(1), 5.1, 4.5(9), 4.5(8), 4.5(7), 4.5(6), 4.5(5), 4.5(4), 4.5(3), 4.5(2);
— Cisco Catalyst 5000 5.5(4), 5.5(3), 5.5(2), 5.5(1), 5.4.1, 5.4(4), 5.4(2), 5.4(1), 5.2(4), 5.2(3), 5.2(2), 5.2(1), 5.2, 5.1(2a), 5.1(1), 5.1, 4.5(9), 4.5(8), 4.5(7), 4.5(6), 4.5(5), 4.5(4), 4.5(3), 4.5(2);
— Cisco Catalyst 6000 5.5(4a), 5.5(4), 6000 5.5(3), 5.5(2), 5.5(1), 5.5, 5.4(4), 5.4(3), 5.4(2), 5.4(1), 5.4, 5.3(6)CSX, 5.3(5a)CSX, 5.3(5)CSX, 5.3(4)CSX, 5.3(3)CSX, 5.3(2)CSX, 5.3(1a)CSX, 5.3(1)CSX.
неуязвимые продукты:
— Cisco Catalyst 4000 5.5(4b), 4.5(10); Cisco Catalyst 5000 5.5(4b), 4.5(10), Cisco Catalyst 6000 5.5(4b)
Telnet-сервер, встроенный в Catalyst для удаленного администрирования имеет "memory leak" дыру, которая приводит к DoS. Всякий раз, когда запущен telnet-сервис, выделяется память без поледующего высвобождения. Как результат, память изчерпывается при подключении определенного числа пользователей, устройство начинает работать неправильно.
В ряде случаев это приводит к отказу в доступе, что исправляестя только с помощью перезагрузки.
Список апгрейдов для ныне существующих продуктов вы можете найти по адресу http://www.securityfocus.com/vdb/ bottom.html?section=solution&vid=2072.
DoS дыра в BIND 8.2.2-P5
тип: удаленная
опубликована 8 ноября 2000
дополнена 10 ноября 2000
уязвимые продукты:
— ISC BIND 8.2.2 p5 для Trustix Trustix Secure Linux 1.1, Trustix Trustix Secure Linux 1.0, S.u.S.E. Linux 6.4ppc, S.u.S.E. Linux 6.4alpha, S.u.S.E. Linux 6.4, S.u.S.E. Linux 6.3 alpha, S.u.S.E. Linux 6.3, S.u.S.E. Linux 6.2, S.u.S.E. Linux 6.1 alpha, S.u.S.E. Linux 6.1, S.u.S.E. Linux 6.0, RedHat Linux 7.0J sparc, RedHat Linux 7.0J i386, RedHat Linux 7.0J alpha, RedHat Linux 7.0 sparc, RedHat Linux 7.0 i386, RedHat Linux 7.0 alpha, RedHat Linux 6.2E sparc, RedHat Linux 6.2E i386, RedHat Linux 6.2E alpha, RedHat Linux 6.2 sparc, RedHat Linux 6.2 i386, RedHat Linux 6.2 alpha, RedHat Linux 6.1 sparc, RedHat Linux 6.1 i386, RedHat Linux 6.1 alpha, RedHat Linux 6.0 sparc, RedHat Linux 6.0 i386, RedHat Linux 6.0 alpha, RedHat Linux 5.2 sparc, RedHat Linux 5.2 i386, RedHat Linux 5.2 alpha, MandrakeSoft Linux Mandrake 7.2, MandrakeSoft Linux Mandrake 7.1, MandrakeSoft Linux Mandrake 7.0, MandrakeSoft Linux Mandrake 6.1, MandrakeSoft Linux Mandrake 6.0, IBM AIX 4.3.3, IBM AIX 4.3.2, IBM AIX 4.3.1, IBM AIX 4.3, Debian Linux 2.3 sparc, Debian Linux 2.3 powerpc, Debian Linux 2.3 arm, Debian Linux 2.3 alpha, Debian Linux 2.3 68k, Debian Linux 2.3, Debian Linux 2.2 sparc, Debian Linux 2.2 powerpc, Debian Linux 2.2 arm, Debian Linux 2.2 alpha, Debian Linux 2.2 68k, Debian Linux 2.2, Connectiva Linux 5.1, Connectiva Linux 5.0, Connectiva Linux 4.2, Connectiva Linux 4.1, Connectiva Linux 4.0es, Connectiva Linux 4.0, Caldera eServer 2.3, Caldera eDesktop 2.4, Caldera OpenLinux Desktop 2.3.
BIND — Berkley Internet Name Daemon (DNS-сервер).
Проблема проявляется при запросе Compressed Zone Transfer (ZXFR). По умолчанию при инсталляции BIND не поддерживает передачу компрессированных файлов зон ответственности. Тем не менее, сервер предоставляет возможным передачу зоны и в результате рекурсивного запроса сервер находится в аварийной ситуации при передаче "компрессованной зоны", которая отсутствует в кэше. В результате чего DNS-сервер перестает отвечать на запросы пользователей.
Вот пример запуска эксплойта, опубликованного Fabio Pietrosanti (naif) <fabio@telemail.it>8 ноября 2000.
named-xfer -z zone.pippo.com -d 9 -f pics -Z dns.pippo.com
И, соответственно, патчи, которые исправляют данную дыру:
• Неофициальный патч от Akatosh <akatosh@rains.net>:
-- src/bin/named/ns_xfr.c Wed Oct 13 12:39:13 1999
+++ src.new/bin/named/ns_xfr.c Wed Nov 8 16:53:38 2000
@@ -97,7 +97,8 @@
"unsupported XFR (type %s) of \"%s\" (%s) to %s",
p_type(type), zones[zone].z_origin, p_class(class),
sin_ntoa(qsp->s_from));
- goto abort;
+ (void) shutdown(qsp->s_rfd, 2);
+ goto abort2;
}
#ifdef SO_SNDBUF
@@ -195,11 +196,13 @@
type = ns_t_axfr;
}
if (sx_pushlev(qsp, znp) < 0) {
+
abort:
(void) shutdown(qsp->s_rfd, 2);
sq_remove(qsp);
return;
}
+ abort2:
if (type!= ns_t_ixfr)
(void) sq_writeh(qsp, sx_sendsoa);
else
• Еще один неофициальный патч от Greg Woods <woods@weird.com>:
*** src/bin/named/ns_xfr.c 1999/11/11 06:06:09 1.1.1.3
-- src/bin/named/ns_xfr.c 2000/11/09 20:49:45
***************
*** 97,103 ****
"unsupported XFR (type %s) of \"%s\" (%s) to %s",
p_type(type), zones[zone].z_origin, p_class(class),
sin_ntoa(qsp->s_from));
! goto abort;
}
#ifdef SO_SNDBUF
-- 97,104 --
"unsupported XFR (type %s) of \"%s\" (%s) to %s",
p_type(type), zones[zone].z_origin, p_class(class),
sin_ntoa(qsp->s_from));
! (void) shutdown(qsp->s_rfd, 2);
! return;
}
#ifdef SO_SNDBUF
• А теперь рассмотрим официальные патчи:
— ISC BIND 8.2.2 p5:
— ISC upgrade BIND 8.2.2-P7
ftp://ftp.isc.org/isc/bind/src/8.2.2-P7/bind-src.tar.gz
— MandrakeSoft RPM 6.1 source bind-8.2.2P7-1.2mdk.src.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.1/SRPMS/bind-8.2.2P7-1.2mdk.src.rpm
— MandrakeSoft RPM 7.0 i386 bind-utils-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.0/RPMS/bind-utils-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.0 source bind-8.2.2P7-1.2mdk.src.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.0/SRPMS/bind-8.2.2P7-1.2mdk.src.rpm
— MandrakeSoft RPM 6.0 i386 bind-8.2.2P7-1.3mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.0/RPMS/bind-8.2.2P7-1.3mdk.i586.rpm
— MandrakeSoft RPM 6.0 source bind-8.2.2P7-1.3mdk.src.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.0/SRPMS/bind-8.2.2P7-1.3mdk.src.rpm
— MandrakeSoft RPM 6.0 i386 bind-devel-8.2.2P7-1.3mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.0/RPMS/bind-utils-8.2.2P7-1.3mdk.i586.rpm
— MandrakeSoft RPM 6.0 i386 bind-utils-8.2.2P7-1.3mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.0/RPMS/bind-utils-8.2.2P7-1.3mdk.i586.rpm
— MandrakeSoft RPM 6.1 i386 bind-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.1/RPMS/bind-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 6.1 i386 bind-devel-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.1/RPMS/bind-devel-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 6.1 i386 bind-utils-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.1/RPMS/bind-utils-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.0 i386 bind-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.0/RPMS/bind-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.0 i386 bind-devel-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.0/RPMS/bind-devel-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.1 i386 bind-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.1/RPMS/bind-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.1 source bind-8.2.2P7-1.2mdk.src.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.1/SRPMS/bind-8.2.2P7-1.2mdk.src.rpm
— MandrakeSoft RPM 7.1 i386 bind-devel-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.1/RPMS/bind-devel-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.2 i386 bind-devel-8.2.2P7-1.1mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.2/RPMS/bind-devel-8.2.2P7-1.1mdk.i586.rpm
— MandrakeSoft RPM 7.2 i386 bind-utils-8.2.2P7-1.1mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.2/RPMS/bind-utils-8.2.2P7-1.1mdk.i586.rpm
— MandrakeSoft RPM 7.2 i386 bind-8.2.2P7-1.1mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.2/RPMS/bind-8.2.2P7-1.1mdk.i586.rpm
— IBM APAR IY14512
http://techsupport.services.ibm.com/rs6k/fixes.html
— Red Hat Inc. RPM 7.0 alpha bind-8.2.2_P7-2.alpha.rpm
ftp://updates.redhat.com/7.0/alpha/bind-8.2.2_P7-2.alpha.rpm
DoS дыра в FreeBSD procfs
тип: локальная
опубликована 18 декабря 2000
дополнена 20 декабря 2000
уязвимы:
— FreeBSD FreeBSD 4.2, FreeBSD FreeBSD 4.1.1, FreeBSD FreeBSD 4.1, FreeBSD FreeBSD 3.5.1, FreeBSD FreeBSD 4.1.1
Procfs — the Process Filesystem — это мост между файловой системой и таблицей процессов. Проблема заключаеся в возможности локльным пользователем вызвать отказ в доступе всем пользователям на FreeBSD-сервере.
Проблема возникает при обработке файлов of /proc/<process id>/mem. В сущности когда процесс пытается выполнить функцию mmap(), которая отображает адресное пространство, которое определено в /proc/<process id>/mem. После чего ядро впадает в бесконечный цикл и зависает, и только перезагрузка возвращает систему в нормальное состояние. Значит любой локальный пользователь со злого умысла может привести систему к краху.
FreeBSD Security Team выпустила патч под данную дыру. Владельцам уязвимых систем предлагается обновить версию операционной системы, либо наложить патч и пересобрать ядро.
Патчи:
— FreeBSD FreeBSD 4.2:
— FreeBSD patch 4.2 procfs.4.2.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-00:77/procfs.4.2.patch
— FreeBSD FreeBSD 4.1.1:
— FreeBSD patch 4.1.1 procfs.4.1.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-00:77/procfs.4.1.patch
— FreeBSD FreeBSD 4.1:
— FreeBSD patch 4.1 procfs.4.1.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-00:77/procfs.4.1.patch
— FreeBSD FreeBSD 3.5.1:
— FreeBSD patch 3.5.1 procfs.3.5.1.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-00:77/procfs.3.5.1.patch
Дыра в Korn Shell Redirection Race Condition Vulnerability
тип: локальная
опубликована 21 декабря 2000
дополнена 22 декабря 2000
уязвимы:
— Digital (Compaq) TRU64/DIGITAL UNIX 5.0, HP HP-UX 9.0, SGI IRIX 6.5.7, SGI IRIX 6.5.5, SGI IRIX 6.2, Sun Solaris 7.0, Sun Solaris 2.6, Sun Solaris 2.5.1
неуязвимы:
— HP HP-UX 11.0, IBM AIX 4.3.3, Sun Solaris 8.0
Korn Shell — широкоиспользуемая, универсальная оболочка, которая поставляется со монгими *nix системами. Проблема заключается в том, что локальные пользователи имеют доступ к файлам других пользователей.
Суть в перенаправлении потоков с использованием оператора "<<". Скрипты и операции командной строки несекьюрно создают файлы в директории /tmp, именуя файлы tmp.<pid>, где pid — идентификатор процесса шелла.
В результате можно создать ссылку в директории /tmp используя вышеупомянутое имя файла, и добавить в файл данные оператором "<<", используя в качестве имени — имя ссылки. Это позволяет злоумышленнику испортить файлы других пользователей или внести изменения в файлы конфигурации системы.
Пример эксплойта, представленный Paul Szabo <psz@maths.usyd.edu.au>:
#!/bin/ksh -x
touch /tmp/silly.1
ln -s /tmp/silly.1 /tmp/sh$$.1
ls -l /tmp/silly.* /tmp/sh$$.*
cat <<EOF
Just some short text
EOF
ls -l /tmp/silly.* /tmp/sh$$.*
rm /tmp/silly.* /tmp/sh$$.*
К глубокому сожалению солюшна на данную дыру нет.
DoS дыра в Microsoft Windows Media Services
тип: локальная и удаленная
опубликована 14 декабря 2000
дополнена 19 декабря 2000
уязвимы:
— Microsoft Windows Media Services 4.1 для Microsoft Windows NT 4.0, Microsoft Windows NT 2000;
— Microsoft Windows Media Services 4.0 для Microsoft Windows NT 4.0, Microsoft Windows NT 2000.
Microsoft Windows Media Services — компонент Windows Media Technologies, который позволяет передвавть проковое аудио и видео, предоставляя как однонаправленное вещание (unicast), так и широкополосное вещание (multicast). Только в Windows Media Unicast Services присутствует данная дыра.
В случае, когда клиент устанавливает соединение, а потом резко разрываеит его неким необычным образом, Windows Media Service не освобождает ресурсы, выделенные данному клиенту. Если подобного рода соединения устанавливать повторно, в конце концов это приведет к отказу в обслуживании. В данном случае необходим перезапуск сервиса для нормального функционирования, и, соответственно клиенты должны восстанавливать соединение.
По данному случаю Microsoft выпустила ряд патчей для данной дыры:
— Microsoft Windows Media Services 4.1:
— Microsoft patch WMSU35924
http://download.microsoft.com/download/winmediatech40/Update/35924/NT45/EN-US/WMSU35924.EXE
— Microsoft Windows Media Services 4.0:
— Microsoft patch WMSU35924
http://download.microsoft.com/download/winmediatech40/Update/35924/NT45/EN-US/WMSU35924.EXE
Дыра в Microsoft Windows NT 4.0 RAS, связанная с Administration Registry Key
тип: локальная
опубликована 06 декабря 2000
дополнена 06 декабря 2000
уязвимы:
— Microsoft Windows NT 4.0
— Microsoft Windows NT Terminal Server для Microsoft Windows NT 4.0
Ключ в системном реестре Windows NT 4.0, который отвечает за администрирование в Remote Access Service (RAS) не корректно сконфигурирован для запрещения доступа на запись непривилегированным пользователям.
В результате из-за неограниченных прав любой пользователь может зайти в систему и, при установленном RAS, может изменить значение ключа, в котором содержится имя DLL, которая стартует при запуске RAS. И, соответственно, DLL запускается с привилегиями операционной системы.
Соответственно пользователь со злым умыслом может указать имя собственной DLL и получить полный доступ к локальной машине. А вот и сам ключ -HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAS.
Данная дыра может быть доступна и удаленно, если ключ Winreg активен, что предоставляет удаленный доступ к реестру (Winreg по умолчанию отключен в Windows NT Server и активен в по умолчанию в Windows NT Workstation).
RAS по умолчанию не установлен в Windows NT 4.0
А вот и патчи от любимой всем корпорации:
• Microsoft Windows NT 4.0:
— Microsoft patch Q265714i
http://download.microsoft.com/download/winntsp/Patch/Q266794/NT4/EN-US/Q265714i.EXE
Платформа Intel.
• Microsoft Windows NT Terminal Server:
— Microsoft patch Q265714i
http://download.microsoft.com/download/winntsp/Patch/Q266794/NT4/EN-US/Q265714i.EXE
Платформа Intel.
Дыра в Microsoft Windows NT 4.0/2000 — возможность изменить ключ SNMP
тип: локальная
опубликована 06 декабря 2000
дополнена 06 декабря 2000
уязвимы:
— Microsoft Windows NT 4.0, Microsoft Windows NT 2000
SNMP — протокол в Windows NT4/2000 позволяющий администраторам удаленно управлять сетевыми устройствами.
В реестре SNMP ключ содержит имя машины и некоторые идентификаторы. К сожалению данная информация доступна для всех пользователей. В основном эти параметры изменяют администраторы, но их могут изменить не только администраторы, что, согласитесь, плачевно. При редактировании данного ключа пользователь может изменить себе уровень привилегий.
В результате получаем монстра, который может управлять всеми сетевыми устройствами, а если к этому добавить злой умысел, то все выглядит очень печально.
А теперь патчи в студию:
• Microsoft Windows NT 4.0:
— Microsoft patch Q265714i
http://download.microsoft.com/download/winntsp/Patch/Q266794/NT4/EN-US/Q265714i.EXE
Платформа Intel.
• Microsoft Windows NT 2000:
— Microsoft patch Q266794_W2K_SP2_ x86_en
http://download.microsoft.com/download/win2000platform/Patch/Q266794/NT5/EN-US/Q266794_W2K_SP2_x86_en.EXE
Дыра в Microsoft Internet Explorer — потребление большого количества ресурсов mstask.exe
тип: локальная
опубликована 13 декабря 2000
дополнена 20 декабря 2000
уязвимы:
— Microsoft Internet Explorer 5.5 для Microsoft Windows 98, Microsoft Windows 95, Microsoft Windows NT 4.0, Microsoft Windows NT 2000
— Microsoft Internet Explorer 5.01 для Microsoft Windows 98, Microsoft Windows 95, Microsoft Windows NT 4.0, Microsoft Windows NT 2000
Microsoft Internet Explorer снабжен планировщиком (mstask.exe). По умолчанию у него открыты порты 1025 и 1220.
Это дает возможность локальному пользователю максимально загрузить процессор, тем самым вызвав отказ в доступе. Достигается это посылкой кривых аргументов mstask.exe, после чего mstask приказывет долго жить. По умолчанию mstask разрешает соединение только с локальной машины. Для нормального функционирования необходим перезапуск системы.
Данный эксполйт может привести к весьма плачевным последствиям, его автор — lia Sprite <sprite@lyceum.usu.ru>:
1. Start telnet.exe
2. Menu->Connect->Remote System=127.0.0.1, Port=1026
3. Press 'Connect' button
4. When it is connects, type some random characters and press enter.
5. Close telnet.exe.
К сожалению, солюшна пока нет.
Ghost//Necrosoft
ghost@nestor.minsk.by
тип: локальная и удаленная
опубликована 22 декабря 2000
дополнена 22 декабря 2000
уязвимые продукты:
— Microsoft IIS 5.0 + Microsoft Windows NT 2000
— Microsoft IIS 4.0
— Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5
— Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0
— Microsoft Windows NT 4.0
Microsoft IIS совместно с Front Page Server Extensions (FPSE) предоставляют возможность изменять содержимое веб-страниц удаленно и локально.
Когда FPSE обрабатывает веб-формы, IIS может выдать отказ в доступе (DoS). Это случается, если в запросе находятся некорректные данные. В результате этого IIS перестает отвечать на запросы. Перезапуск сервиса возвращает все на свои места. Все это возможно, если у вас установлен FPSE.
По данному случаю Microsoft выпустила следующие патчи:
• Microsoft IIS 5.0:
Microsoft patch Q280322_W2K_SP2_ x86_en
http://download.microsoft.com/download/ win2000platform/Patch/q280322/NT5/EN-US/Q280322_W2K_SP2_x86_en.EXE
• Microsoft IIS 4.0:
Microsoft patch Q280322i
http://download.microsoft.com/download/winntsrv40/Patch/q280322/NT4/EN-US/Q280322i.EXE
Дыра в Microsoft Windows 2000 Directory Services Restore Mode
возможность использования пустого пароля
тип: локальная
опубликована 22 декабря 2000
дополнена 22 декабря 2000
уязвимые продукты:
— Microsoft Windows NT 2000 Server, Microsoft Windows NT 2000 Advanced Server
неуязвимые продукты:
— Microsoft Windows NT 2000 Workstation
Во время процесса загрузки W2K-Server вам предоставляется возможность, как администратору, восстановить поврежденную конфигурацию системы. В данном случае пустой пароль проходит на ура в режиме "Directory Service Restore Mode". Это дает возможность любому пользователю войти в "Directory Service Restore Mode" с привилегиями администратора, что, согласитесь, не очень хорошо. Если у вас под данным произведением Microsoft оказался целый домен, настоятельно рекомендую пофиксить данную дыру, в противном случае вашему домен-контроллеру можно будет "помохать ручкой", если очень грамотный пользователь или какой нибудь сисадмин попытается воспользоваться этой дырой со злым умыслом.
Microsoft выпустила патчи, устраняющие данную дыру. Данный патч включает в себя утилиту SETPWD, которая позоляет изменять значения "Directory Service Restore Mode" и пароль "Recovery Console".
Синтакис: SETPWD [/s:servername]
• Microsoft Windows NT 2000 Server:
— Microsoft patch Q271641_W2K_SP2_ x86_en
http://download.microsoft.com/download/win2000platform/Patch/q271641/NT5/EN-US/Q271641_W2K_SP2_x86_en.EXE
• Microsoft Windows NT 2000 Advanced Server:
— Microsoft patch Q271641_W2K_SP2_ x86_en
http://download.microsoft.com/download/win2000platform/Patch/q271641/NT5/EN-US/Q271641_W2K_SP2_x86_en.EXE
Denial of Service дыра в Alt-N MDaemon 3.5.0
тип: локальная и удаленная
опубликована 19 декабря 2000
дополнена 21 декабря 2000
уязвимые продукты:
— Alt-N Mdaemon 3.5.0 для Microsoft Windows 98, Microsoft Windows 95, Microsoft Windows NT 4.0, Microsoft Windows NT 2000.
неуязвимые продукты:
— Alt-N Mdaemon 3.5.1 для Microsoft Windows 98, Microsoft Windows 95, Microsoft Windows NT 4.0, Microsoft Windows NT 2000.
MDaemon — это популярный email-сервер, поддерживающий множество почтовых протоколов, выпускаемых фирмой Alt-N Technologies.
Так, собственно, на чем же затыкается MDaemon? Если продлжительно долго слать последовательность "\r\n" в порт 143, это приведет к краху сервера. А значит не будет доступа и к портам с номерами 25, 110 и 366. Только повторный перезапуск спасет в данном случае. На что Alt-N Technologies предлагает апгрейд до MDaemon 3.5.1
http://mdaemon.deerfield.com/download/getmdaemon.cfm
Переполнение буферв в BSD ftpd
тип: удаленная
опубликована 18 декабря 2000
дополнена 22 декабря 2000
уязвимые продукты:
— NetBSD NetBSD 1.5, NetBSD NetBSD 1.4.2, NetBSD NetBSD 1.4.1, NetBSD NetBSD 1.4, OpenBSD OpenBSD 2.8, OpenBSD OpenBSD 2.7, OpenBSD OpenBSD 2.6, OpenBSD OpenBSD 2.5, OpenBSD OpenBSD 2.4
неуязвимые продукты:
— FreeBSD FreeBSD 4.2, FreeBSD FreeBSD 4.1.1, FreeBSD FreeBSD 4.1, FreeBSD FreeBSD 4.0, FreeBSD FreeBSD 3.5, FreeBSD FreeBSD 3.4, FreeBSD FreeBSD 3.3, FreeBSD FreeBSD 3.2
Ftp-сервер от BSD 4.x имеет серьезную дыру, которая может привести к получению прав root'a. Это достигается из-за переполнения в функции replydirname(). Что же происходит: атакующий записывает Null байт за границей буфера, и в результате младший байт сохраняется в качестве базового указателя. В результате значение указателя уменьшается (от данного положения к более высшему (или меньшему адресу) в стеке), который возвращает функция replydirname(), и измененное значение сохраняется в регистре базового указателя. И если базовый указатель null, то возвращенный адрес на самом деле не является реальным адресом.
Эта дыра дает возможность атакующему вмешиваться в данные пользователей и выполнять инструкции от root'a. Данная дыра работоспособна только на анонимных ftp-серверах при наличии директорий, в которые можно писать (например "incoming").
Работоспособный эксплойт можно взять по адресу: http://www.securityfocus. com/data/vulnerabilities/exploits/7350oftpd.tar.gz
Для OpenBSD патч для последней версии ftpd. Для NetBSD патч для версий 1.4.3 и 1.5. Также рекомедуют для апгрейда 1.4.2 или более старых версий один из патчей.
• NetBSD NetBSD 1.5:NetBSD patch 1.5 20001220-ftpd-1.5
ftp://ftp.NetBSD.ORG/pub/NetBSD/misc/security/patches/20001220-ftpd-1.5
А вот так вот накладывается патч и пересобирается ftpd:
# cd /usr/src/libexec/ftpd
# patch < 20001220-ftpd
# make cleandir
# make depend
# make
# make install
• OpenBSD OpenBSD 2.8:
— OpenBSD patch 005_ftpd.patch
http://www.securityfocus.com/data/vulnerabilities/patches/005_ftpd.patch
Накладываем патч:
cd /usr/src
patch -p0 < 005_ftpd.patch
И пересобираем ftpd:
cd libexec/ftpd
make obj
make depend
make
make install
Oracle WebDB PL/SQL Proxy Access Vulnerabililty
тип: удаленная
опубликована 19 декабря 2000
дополнена 27 декабря 2000
уязвимые продукты:
— Oracle Internet Application Server 3.0.7 and Previous: Sun Solaris 8.0, Sun Solaris 7.0, Sun Solaris 2.6, Sun Solaris 2.5.1, S.u.S.E. Linux 7.0, S.u.S.E. Linux 6.4, RedHat Linux 7.0, RedHat Linux 6.2 i386, Debian Linux 2.2
Oracle WebDB — часть Oracle Internet Application Server'a, выпускаемого корпорацией Oracle. Проблема заключается в возможности несанкционированного доступа к запрещенным ресурсам.
Проблема в возможности работать с базой данных через HTTP. При посылке определенных запросов HTTPD, удаленные пользователи могут получать необходимую информацию, к примеру DAD-имена. В дополнении к получению DAD-имен, есть возможность манипулировать данными через веб-интерфейс, используя SQL-запросы. В результате мы получаем, что пользователь со злым умыслом посылает запросы базе данных и оперирует данными на свой вкус.
Для решения данной проблемы солюшна пока что нет.
DoS дыра в Cisco Catalyst ssh Protocol Mismatch
тип: удаленная
опубликована 13 декабря 2000
дополнена 17 декабря 2000
уязвимые продукты:
— Cisco Catalyst 4000 6.1(1b), 6.1(1a), 6.1(1);
— Cisco Catalyst 5000 6.1(1b), 6.1(1a), 6.1(1);
— Cisco Catalyst 6000 6.1(1b), 6000 6.1(1a), 6.1(1)
неуязвимые продукты:
— Cisco Catalyst 4000 6.1(1c), Cisco Catalyst 5000 6.1(1c), Cisco Catalyst 6000 6.1(1c)
Cisco Catalyst — серия высокоскростных коммутаторов, которые обычно используются в локальных сетях.
В программном обеспечении версий 6.1(1), 6.1(1a) and 6.1(1b) для устройств Catalyst 4000, 5000 и 6000 с поддержкой SSH и криптованием 3DES обнаружена дыра, позволяющая атакующему получить отказ доступа.
При подключении к SSH-сервису на уязвимом Catalyst'е и при возникновении ошибки "protocol mismatch", устройство обресечивается (забавный аналог англоязычного "resets" — прим. ред.;). В результате устройство не пропускает трафик.
Вот список образов ПО, которые имеют данную дыру: cat4000-k9.6-1-1.bin, cat5000-sup3cvk9.6-1-1a.bin, cat5000-sup3k9.6-1-1.bin, cat5000-supgk9.6-1-1.bin, cat6000-sup2cvk9.6-1-1b.bin, cat6000-sup2k9.6-1-1b.bin, cat6000-supcvk9.6-1-1b.bin, cat6000-supk9.6-1-1b.bin
SSH-сервис по умолчанию не доступен, но можент быть включен по желанию администратора. Эта дыра доступна только на системах, где возможен дступ к SSH.
Для нормальной работы используйте правильный SSH-клиент на уязвимом Catalyst'е (telnet, netcat, web-браузер и т.д.).
Эта дыра исправлена в ПО версии 6.1(1c).
— Cisco Catalyst 4000 6.1(1b): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 4000 6.1(1a): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 4000 6.1(1): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 5000 6.1(1b): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 5000 6.1(1a): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 5000 6.1(1): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 6000 6.1(1b): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 6000 6.1(1a): Cisco upgrade Catalyst Release 6.1(1c)
— Cisco Catalyst 6000 6.1(1): Cisco upgrade Catalyst Release 6.1(1c)
DoS дыра в Cisco Catalyst вызывающая Memory Leak
тип: неизвестен
опубликована 6 декабря 2000
дополнена 7 декабря 2000
уязвимые продукты:
— Cisco Catalyst 4000 5.5(1), 5.5, 5.4(3), 5.4(2), 5.4(1), 5.4, 5.2(7), 5.2(6), 5.2(5), 5.2(4), 5.2(2), 5.2(1a), 5.2(1), 5.2, 5.1(2a), 5.1(1a), 5.1(1), 5.1, 4.5(9), 4.5(8), 4.5(7), 4.5(6), 4.5(5), 4.5(4), 4.5(3), 4.5(2);
— Cisco Catalyst 5000 5.5(4), 5.5(3), 5.5(2), 5.5(1), 5.4.1, 5.4(4), 5.4(2), 5.4(1), 5.2(4), 5.2(3), 5.2(2), 5.2(1), 5.2, 5.1(2a), 5.1(1), 5.1, 4.5(9), 4.5(8), 4.5(7), 4.5(6), 4.5(5), 4.5(4), 4.5(3), 4.5(2);
— Cisco Catalyst 6000 5.5(4a), 5.5(4), 6000 5.5(3), 5.5(2), 5.5(1), 5.5, 5.4(4), 5.4(3), 5.4(2), 5.4(1), 5.4, 5.3(6)CSX, 5.3(5a)CSX, 5.3(5)CSX, 5.3(4)CSX, 5.3(3)CSX, 5.3(2)CSX, 5.3(1a)CSX, 5.3(1)CSX.
неуязвимые продукты:
— Cisco Catalyst 4000 5.5(4b), 4.5(10); Cisco Catalyst 5000 5.5(4b), 4.5(10), Cisco Catalyst 6000 5.5(4b)
Telnet-сервер, встроенный в Catalyst для удаленного администрирования имеет "memory leak" дыру, которая приводит к DoS. Всякий раз, когда запущен telnet-сервис, выделяется память без поледующего высвобождения. Как результат, память изчерпывается при подключении определенного числа пользователей, устройство начинает работать неправильно.
В ряде случаев это приводит к отказу в доступе, что исправляестя только с помощью перезагрузки.
Список апгрейдов для ныне существующих продуктов вы можете найти по адресу http://www.securityfocus.com/vdb/ bottom.html?section=solution&vid=2072.
DoS дыра в BIND 8.2.2-P5
тип: удаленная
опубликована 8 ноября 2000
дополнена 10 ноября 2000
уязвимые продукты:
— ISC BIND 8.2.2 p5 для Trustix Trustix Secure Linux 1.1, Trustix Trustix Secure Linux 1.0, S.u.S.E. Linux 6.4ppc, S.u.S.E. Linux 6.4alpha, S.u.S.E. Linux 6.4, S.u.S.E. Linux 6.3 alpha, S.u.S.E. Linux 6.3, S.u.S.E. Linux 6.2, S.u.S.E. Linux 6.1 alpha, S.u.S.E. Linux 6.1, S.u.S.E. Linux 6.0, RedHat Linux 7.0J sparc, RedHat Linux 7.0J i386, RedHat Linux 7.0J alpha, RedHat Linux 7.0 sparc, RedHat Linux 7.0 i386, RedHat Linux 7.0 alpha, RedHat Linux 6.2E sparc, RedHat Linux 6.2E i386, RedHat Linux 6.2E alpha, RedHat Linux 6.2 sparc, RedHat Linux 6.2 i386, RedHat Linux 6.2 alpha, RedHat Linux 6.1 sparc, RedHat Linux 6.1 i386, RedHat Linux 6.1 alpha, RedHat Linux 6.0 sparc, RedHat Linux 6.0 i386, RedHat Linux 6.0 alpha, RedHat Linux 5.2 sparc, RedHat Linux 5.2 i386, RedHat Linux 5.2 alpha, MandrakeSoft Linux Mandrake 7.2, MandrakeSoft Linux Mandrake 7.1, MandrakeSoft Linux Mandrake 7.0, MandrakeSoft Linux Mandrake 6.1, MandrakeSoft Linux Mandrake 6.0, IBM AIX 4.3.3, IBM AIX 4.3.2, IBM AIX 4.3.1, IBM AIX 4.3, Debian Linux 2.3 sparc, Debian Linux 2.3 powerpc, Debian Linux 2.3 arm, Debian Linux 2.3 alpha, Debian Linux 2.3 68k, Debian Linux 2.3, Debian Linux 2.2 sparc, Debian Linux 2.2 powerpc, Debian Linux 2.2 arm, Debian Linux 2.2 alpha, Debian Linux 2.2 68k, Debian Linux 2.2, Connectiva Linux 5.1, Connectiva Linux 5.0, Connectiva Linux 4.2, Connectiva Linux 4.1, Connectiva Linux 4.0es, Connectiva Linux 4.0, Caldera eServer 2.3, Caldera eDesktop 2.4, Caldera OpenLinux Desktop 2.3.
BIND — Berkley Internet Name Daemon (DNS-сервер).
Проблема проявляется при запросе Compressed Zone Transfer (ZXFR). По умолчанию при инсталляции BIND не поддерживает передачу компрессированных файлов зон ответственности. Тем не менее, сервер предоставляет возможным передачу зоны и в результате рекурсивного запроса сервер находится в аварийной ситуации при передаче "компрессованной зоны", которая отсутствует в кэше. В результате чего DNS-сервер перестает отвечать на запросы пользователей.
Вот пример запуска эксплойта, опубликованного Fabio Pietrosanti (naif) <fabio@telemail.it>8 ноября 2000.
named-xfer -z zone.pippo.com -d 9 -f pics -Z dns.pippo.com
И, соответственно, патчи, которые исправляют данную дыру:
• Неофициальный патч от Akatosh <akatosh@rains.net>:
-- src/bin/named/ns_xfr.c Wed Oct 13 12:39:13 1999
+++ src.new/bin/named/ns_xfr.c Wed Nov 8 16:53:38 2000
@@ -97,7 +97,8 @@
"unsupported XFR (type %s) of \"%s\" (%s) to %s",
p_type(type), zones[zone].z_origin, p_class(class),
sin_ntoa(qsp->s_from));
- goto abort;
+ (void) shutdown(qsp->s_rfd, 2);
+ goto abort2;
}
#ifdef SO_SNDBUF
@@ -195,11 +196,13 @@
type = ns_t_axfr;
}
if (sx_pushlev(qsp, znp) < 0) {
+
abort:
(void) shutdown(qsp->s_rfd, 2);
sq_remove(qsp);
return;
}
+ abort2:
if (type!= ns_t_ixfr)
(void) sq_writeh(qsp, sx_sendsoa);
else
• Еще один неофициальный патч от Greg Woods <woods@weird.com>:
*** src/bin/named/ns_xfr.c 1999/11/11 06:06:09 1.1.1.3
-- src/bin/named/ns_xfr.c 2000/11/09 20:49:45
***************
*** 97,103 ****
"unsupported XFR (type %s) of \"%s\" (%s) to %s",
p_type(type), zones[zone].z_origin, p_class(class),
sin_ntoa(qsp->s_from));
! goto abort;
}
#ifdef SO_SNDBUF
-- 97,104 --
"unsupported XFR (type %s) of \"%s\" (%s) to %s",
p_type(type), zones[zone].z_origin, p_class(class),
sin_ntoa(qsp->s_from));
! (void) shutdown(qsp->s_rfd, 2);
! return;
}
#ifdef SO_SNDBUF
• А теперь рассмотрим официальные патчи:
— ISC BIND 8.2.2 p5:
— ISC upgrade BIND 8.2.2-P7
ftp://ftp.isc.org/isc/bind/src/8.2.2-P7/bind-src.tar.gz
— MandrakeSoft RPM 6.1 source bind-8.2.2P7-1.2mdk.src.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.1/SRPMS/bind-8.2.2P7-1.2mdk.src.rpm
— MandrakeSoft RPM 7.0 i386 bind-utils-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.0/RPMS/bind-utils-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.0 source bind-8.2.2P7-1.2mdk.src.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.0/SRPMS/bind-8.2.2P7-1.2mdk.src.rpm
— MandrakeSoft RPM 6.0 i386 bind-8.2.2P7-1.3mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.0/RPMS/bind-8.2.2P7-1.3mdk.i586.rpm
— MandrakeSoft RPM 6.0 source bind-8.2.2P7-1.3mdk.src.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.0/SRPMS/bind-8.2.2P7-1.3mdk.src.rpm
— MandrakeSoft RPM 6.0 i386 bind-devel-8.2.2P7-1.3mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.0/RPMS/bind-utils-8.2.2P7-1.3mdk.i586.rpm
— MandrakeSoft RPM 6.0 i386 bind-utils-8.2.2P7-1.3mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.0/RPMS/bind-utils-8.2.2P7-1.3mdk.i586.rpm
— MandrakeSoft RPM 6.1 i386 bind-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.1/RPMS/bind-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 6.1 i386 bind-devel-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.1/RPMS/bind-devel-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 6.1 i386 bind-utils-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/6.1/RPMS/bind-utils-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.0 i386 bind-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.0/RPMS/bind-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.0 i386 bind-devel-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.0/RPMS/bind-devel-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.1 i386 bind-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.1/RPMS/bind-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.1 source bind-8.2.2P7-1.2mdk.src.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.1/SRPMS/bind-8.2.2P7-1.2mdk.src.rpm
— MandrakeSoft RPM 7.1 i386 bind-devel-8.2.2P7-1.2mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.1/RPMS/bind-devel-8.2.2P7-1.2mdk.i586.rpm
— MandrakeSoft RPM 7.2 i386 bind-devel-8.2.2P7-1.1mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.2/RPMS/bind-devel-8.2.2P7-1.1mdk.i586.rpm
— MandrakeSoft RPM 7.2 i386 bind-utils-8.2.2P7-1.1mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.2/RPMS/bind-utils-8.2.2P7-1.1mdk.i586.rpm
— MandrakeSoft RPM 7.2 i386 bind-8.2.2P7-1.1mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/7.2/RPMS/bind-8.2.2P7-1.1mdk.i586.rpm
— IBM APAR IY14512
http://techsupport.services.ibm.com/rs6k/fixes.html
— Red Hat Inc. RPM 7.0 alpha bind-8.2.2_P7-2.alpha.rpm
ftp://updates.redhat.com/7.0/alpha/bind-8.2.2_P7-2.alpha.rpm
DoS дыра в FreeBSD procfs
тип: локальная
опубликована 18 декабря 2000
дополнена 20 декабря 2000
уязвимы:
— FreeBSD FreeBSD 4.2, FreeBSD FreeBSD 4.1.1, FreeBSD FreeBSD 4.1, FreeBSD FreeBSD 3.5.1, FreeBSD FreeBSD 4.1.1
Procfs — the Process Filesystem — это мост между файловой системой и таблицей процессов. Проблема заключаеся в возможности локльным пользователем вызвать отказ в доступе всем пользователям на FreeBSD-сервере.
Проблема возникает при обработке файлов of /proc/<process id>/mem. В сущности когда процесс пытается выполнить функцию mmap(), которая отображает адресное пространство, которое определено в /proc/<process id>/mem. После чего ядро впадает в бесконечный цикл и зависает, и только перезагрузка возвращает систему в нормальное состояние. Значит любой локальный пользователь со злого умысла может привести систему к краху.
FreeBSD Security Team выпустила патч под данную дыру. Владельцам уязвимых систем предлагается обновить версию операционной системы, либо наложить патч и пересобрать ядро.
Патчи:
— FreeBSD FreeBSD 4.2:
— FreeBSD patch 4.2 procfs.4.2.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-00:77/procfs.4.2.patch
— FreeBSD FreeBSD 4.1.1:
— FreeBSD patch 4.1.1 procfs.4.1.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-00:77/procfs.4.1.patch
— FreeBSD FreeBSD 4.1:
— FreeBSD patch 4.1 procfs.4.1.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-00:77/procfs.4.1.patch
— FreeBSD FreeBSD 3.5.1:
— FreeBSD patch 3.5.1 procfs.3.5.1.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-00:77/procfs.3.5.1.patch
Дыра в Korn Shell Redirection Race Condition Vulnerability
тип: локальная
опубликована 21 декабря 2000
дополнена 22 декабря 2000
уязвимы:
— Digital (Compaq) TRU64/DIGITAL UNIX 5.0, HP HP-UX 9.0, SGI IRIX 6.5.7, SGI IRIX 6.5.5, SGI IRIX 6.2, Sun Solaris 7.0, Sun Solaris 2.6, Sun Solaris 2.5.1
неуязвимы:
— HP HP-UX 11.0, IBM AIX 4.3.3, Sun Solaris 8.0
Korn Shell — широкоиспользуемая, универсальная оболочка, которая поставляется со монгими *nix системами. Проблема заключается в том, что локальные пользователи имеют доступ к файлам других пользователей.
Суть в перенаправлении потоков с использованием оператора "<<". Скрипты и операции командной строки несекьюрно создают файлы в директории /tmp, именуя файлы tmp.<pid>, где pid — идентификатор процесса шелла.
В результате можно создать ссылку в директории /tmp используя вышеупомянутое имя файла, и добавить в файл данные оператором "<<", используя в качестве имени — имя ссылки. Это позволяет злоумышленнику испортить файлы других пользователей или внести изменения в файлы конфигурации системы.
Пример эксплойта, представленный Paul Szabo <psz@maths.usyd.edu.au>:
#!/bin/ksh -x
touch /tmp/silly.1
ln -s /tmp/silly.1 /tmp/sh$$.1
ls -l /tmp/silly.* /tmp/sh$$.*
cat <<EOF
Just some short text
EOF
ls -l /tmp/silly.* /tmp/sh$$.*
rm /tmp/silly.* /tmp/sh$$.*
К глубокому сожалению солюшна на данную дыру нет.
DoS дыра в Microsoft Windows Media Services
тип: локальная и удаленная
опубликована 14 декабря 2000
дополнена 19 декабря 2000
уязвимы:
— Microsoft Windows Media Services 4.1 для Microsoft Windows NT 4.0, Microsoft Windows NT 2000;
— Microsoft Windows Media Services 4.0 для Microsoft Windows NT 4.0, Microsoft Windows NT 2000.
Microsoft Windows Media Services — компонент Windows Media Technologies, который позволяет передвавть проковое аудио и видео, предоставляя как однонаправленное вещание (unicast), так и широкополосное вещание (multicast). Только в Windows Media Unicast Services присутствует данная дыра.
В случае, когда клиент устанавливает соединение, а потом резко разрываеит его неким необычным образом, Windows Media Service не освобождает ресурсы, выделенные данному клиенту. Если подобного рода соединения устанавливать повторно, в конце концов это приведет к отказу в обслуживании. В данном случае необходим перезапуск сервиса для нормального функционирования, и, соответственно клиенты должны восстанавливать соединение.
По данному случаю Microsoft выпустила ряд патчей для данной дыры:
— Microsoft Windows Media Services 4.1:
— Microsoft patch WMSU35924
http://download.microsoft.com/download/winmediatech40/Update/35924/NT45/EN-US/WMSU35924.EXE
— Microsoft Windows Media Services 4.0:
— Microsoft patch WMSU35924
http://download.microsoft.com/download/winmediatech40/Update/35924/NT45/EN-US/WMSU35924.EXE
Дыра в Microsoft Windows NT 4.0 RAS, связанная с Administration Registry Key
тип: локальная
опубликована 06 декабря 2000
дополнена 06 декабря 2000
уязвимы:
— Microsoft Windows NT 4.0
— Microsoft Windows NT Terminal Server для Microsoft Windows NT 4.0
Ключ в системном реестре Windows NT 4.0, который отвечает за администрирование в Remote Access Service (RAS) не корректно сконфигурирован для запрещения доступа на запись непривилегированным пользователям.
В результате из-за неограниченных прав любой пользователь может зайти в систему и, при установленном RAS, может изменить значение ключа, в котором содержится имя DLL, которая стартует при запуске RAS. И, соответственно, DLL запускается с привилегиями операционной системы.
Соответственно пользователь со злым умыслом может указать имя собственной DLL и получить полный доступ к локальной машине. А вот и сам ключ -HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAS.
Данная дыра может быть доступна и удаленно, если ключ Winreg активен, что предоставляет удаленный доступ к реестру (Winreg по умолчанию отключен в Windows NT Server и активен в по умолчанию в Windows NT Workstation).
RAS по умолчанию не установлен в Windows NT 4.0
А вот и патчи от любимой всем корпорации:
• Microsoft Windows NT 4.0:
— Microsoft patch Q265714i
http://download.microsoft.com/download/winntsp/Patch/Q266794/NT4/EN-US/Q265714i.EXE
Платформа Intel.
• Microsoft Windows NT Terminal Server:
— Microsoft patch Q265714i
http://download.microsoft.com/download/winntsp/Patch/Q266794/NT4/EN-US/Q265714i.EXE
Платформа Intel.
Дыра в Microsoft Windows NT 4.0/2000 — возможность изменить ключ SNMP
тип: локальная
опубликована 06 декабря 2000
дополнена 06 декабря 2000
уязвимы:
— Microsoft Windows NT 4.0, Microsoft Windows NT 2000
SNMP — протокол в Windows NT4/2000 позволяющий администраторам удаленно управлять сетевыми устройствами.
В реестре SNMP ключ содержит имя машины и некоторые идентификаторы. К сожалению данная информация доступна для всех пользователей. В основном эти параметры изменяют администраторы, но их могут изменить не только администраторы, что, согласитесь, плачевно. При редактировании данного ключа пользователь может изменить себе уровень привилегий.
В результате получаем монстра, который может управлять всеми сетевыми устройствами, а если к этому добавить злой умысел, то все выглядит очень печально.
А теперь патчи в студию:
• Microsoft Windows NT 4.0:
— Microsoft patch Q265714i
http://download.microsoft.com/download/winntsp/Patch/Q266794/NT4/EN-US/Q265714i.EXE
Платформа Intel.
• Microsoft Windows NT 2000:
— Microsoft patch Q266794_W2K_SP2_ x86_en
http://download.microsoft.com/download/win2000platform/Patch/Q266794/NT5/EN-US/Q266794_W2K_SP2_x86_en.EXE
Дыра в Microsoft Internet Explorer — потребление большого количества ресурсов mstask.exe
тип: локальная
опубликована 13 декабря 2000
дополнена 20 декабря 2000
уязвимы:
— Microsoft Internet Explorer 5.5 для Microsoft Windows 98, Microsoft Windows 95, Microsoft Windows NT 4.0, Microsoft Windows NT 2000
— Microsoft Internet Explorer 5.01 для Microsoft Windows 98, Microsoft Windows 95, Microsoft Windows NT 4.0, Microsoft Windows NT 2000
Microsoft Internet Explorer снабжен планировщиком (mstask.exe). По умолчанию у него открыты порты 1025 и 1220.
Это дает возможность локальному пользователю максимально загрузить процессор, тем самым вызвав отказ в доступе. Достигается это посылкой кривых аргументов mstask.exe, после чего mstask приказывет долго жить. По умолчанию mstask разрешает соединение только с локальной машины. Для нормального функционирования необходим перезапуск системы.
Данный эксполйт может привести к весьма плачевным последствиям, его автор — lia Sprite <sprite@lyceum.usu.ru>:
1. Start telnet.exe
2. Menu->Connect->Remote System=127.0.0.1, Port=1026
3. Press 'Connect' button
4. When it is connects, type some random characters and press enter.
5. Close telnet.exe.
К сожалению, солюшна пока нет.
Ghost//Necrosoft
ghost@nestor.minsk.by
Сетевые решения. Статья была опубликована в номере 01 за 2001 год в рубрике save ass…