BugTraq #6
Xakep, номер #030, стр. 030-010-1
Composed by Crazy Nerd, http://hangup.da.ru
Уязвимость: Microsoft Internet Explorer Server Certificate Validation
Уязвимы: IE5.5SP1 IE5.0.1SP1/2 9x NT4 2k
Класс: Ошибка реализации
Дата: 17 мая 2001
Очередная дыра в IE, на этот раз хромает верификация сертификатов. Если IE
настроен таким образом, что работает с CRL при предоставлении веб-сервером
сертификата, то не выполняется приличное количество различных проверок.
Дыра позволяет представить произвольный веб-сайт как сертифицированный,
что дает дополнительные возможности по манипулированию клиентом.
Уязвимость: Microsoft IE SSL Spoofing
Уязвимы: IE5.5SP1/2 IE5.0.1SP1 9x NT4 2k
Дата: 17 мая 2001
MSIE содержит ошибку, позволяющую выкладывать липовый адрес в его поле.
Таким образом могут быть созданы всякие "левые" сайты с известными
адресами. В сочетании с SSL эта уязвимость позволяет предотвратить
клиентом проверки подлинности сайта.
Уязвимость: MS IIS/PWS Escaped Characters Decoding Command Execution
Уязвимы: MS IIS 5.0 (Win 2k sp2/sp1), IIS 4.0 (NT 4.0 SP1/2/3/4), IIS 3.0
Решение: NT SP6
Класс: ошибка реализации (unicode-парсер)
Дата: 15 мая 2001
При получении CGI запроса исполняемого имени файла IIS автоматически
выполняет 2 действия:
1. Смотрит имя файла/безопасность пути/допустимость расширения.
2. Разбирает параметры вызова CGI.
Глюк заключается в выполнении 3-го, не предусмотренного разработчиками
действия: вторично обрабатывается уже отработанный путь к файлу, в результате
процедура начинает выполнять левый код. Т.е. налицо возможность исполнения
команд с привилегиями IUSR_machine.
Ошибка парсера позволяет передать IIS символы ../ , причем они не будут
замечены функциями, выполняющими проверку пути к файлу.
Cлэш в уникоде это ни что иное, как %5c. Учитывая двойное декодирование, имеем:
%25%25%63 == %255c == %%35c == %%35%63 - кому что нравится.
Фактически это означает, что командный интерпретатор у нас в кармане:
www.victim.com/scripts/..%255c..%255cwinnt/system32/cmd.exe\?/c+cmdz_here
Уязвимость: Переполнение буфера в msw3prt.dll, получение командного шела
Уязвимы: IIS 5.0
Решение: Отключение спулера, удаление маппинга
Автор: Mark Maiffret, Dark Spyrit
Библиотека обрабатывает запросы типа *.printer. Переполняется собственно
буффер, хранящий поля host. Собственно ошибка локализована в одной
из функций этой библиотеки, которая, кстати, используется при управлении
печатью в win32.
Запрос, приводящий к переполнению:
GET /NULL.printer HTTP/1.0
Host: AAAAA... 420_chars_here ...A
Уязвимость: squid /tmp File Race Condition
Уязвимы: Mandrake 6.0-7.1 RedHat 7.0 TS Linux 1.1 1.2 TurboLinux 6.0-6.0.5
Автор: Greg KH
Дата: 16 мая 2001
Проблемы начинаются при создании /tmp файлов. Пак может быть настроен для
отсылки письма администратору, когда имеет место апдейт. Создание файлов
же происходит при работе с мэйлом.
Устроить перезапись/добавление в файл юзера squid можно, установив symb. линк
с файлом, доступным для UID squid'a.
Уязвимость: Man -S Heap overflow
Уязвимы: RedHat Linux 7.0
Автор: Zenith Parsec
