BugTraq #8
Xakep, номер #032, стр. 032-008-3
PHP-nuke
ПХП - модная фишка. На куче страничек его юзают даже для того чтобы открыть нужную страничку вместо простого html-тега. Так что появилось еще одно средство против модников. Для многих скриптов рассматриваемого пакета характерна некорректная обработка введенных юзером данных. Серьезным последствием становится внесение изменений в SQL-структуру обрабатываемой системы. В данном конкретном случае зараза притаилась в скрипте reviews.php. Стоит отметить, что баг характерен только PHP3, в котором написан комплекс, и не актуален для ПХП 4, имеющего принципиально другую структуру. http://www.securityfocus.com/bid/3114 Применение бага - генитально просто: reviews.php?id=12345, здесь параметр, идущий после id, - не проверяется, и ты можешь сделать запрос не только на нужный номер review, но и... угадай с трех раз :).
WS-FTP
Виндозный ftp сервер, заимевший проблемы на некорректной обработке аргументов, подаваемых анонимным юзером, залогинившимся в систему. Если атакующий пускает объем аргументов превышающий input-буффер, сервис реагирует разрешением на исполнение shellcode`а, т.е. атакующий сможет исполнить нужный ему код с прав system. Эксплойт на перле доступен по url`у http://www.securityfocus.com/bid/3102 Как решение - качаем более новую, пропатченную версию сервиса - http://www.ipswitch.com/cgi/download_eval.pl?product=WR-0000.
NetBSD/send_msg
Дистрибутив, ставший недавно увлечением некоторых мемберов X-crew. А тут незадача, все пакеты до 1.5.1 содержали описываемый баг. Суть дела - некорректная реакция на ввод при обработке sendmsg(2) функции во время проверки раздела msg_controllen структуры msghdr. Т.к. ядро затрудняется проверить объем инфы, поставляемой с msg_controllen, становится возможным обустроить нехватку места в kmem_map с последующим keel panic`ом. Разрулить проблему можно переходом на более свежий дистриб 1.5.1 или же выкачав доступный патч ftp://ftp.netbsd.org/pub/NetBSD/security/patches/SA2001-011-sendmsg-1.3-1.5.patch (для 1.5, для более ранних версий смотри на обозначенном ftp). Готового эксплойта, к сожалению, нет =(. Сие, очевидно, объясняется малой распространенностью системы.
Solaris DTMail Environment
DTMail - один из элементов поставки Common Desktop Environment (очередной X-windows менеджер Соляры). Переполнение буфера в dtmail, как обычно, позволяет юзверу системы нехило подняться по теме полномочий. Счастье достигается без особых проблем - путем составления запроса в 2000 и более знаков. Произойдет переполнение стека, не исключая адресов возврата, в результате чего юзвер захватит GID, что был присвоен mail`у.
На момент выхода номера должен образоваться эксплойт и дополнительная инфа по вопросу на Security Focus - http://www.securityfocus.com/bid/3081.
