BugTraq #9
Xakep, номер #033, стр. 033-008-1
Composed by Raw_power (faq@real.xakep.ru),
Store.cgi
by _TacK_ (TacK@ole.com)
Скрипты гостевух, системы новостей и онлайн-шопы - самые лакомые кусочки, доступные для разделки хакеру. Результат полома разный - от примитивного редактирования форума до взятия полного контроля над сервером, а то и всего окружения машин. Уязвимая корзинка на серванте даст мазу захвата "всего-навсего" базы CC, прошедших транзакцию. Неплохая находка, неправда ли? Данный баг позволит зачитать любое доступное файло на сервере. Многие возмутятся, что с данной дыркой шадов или конфиги апача утянуть чаще всего не удастся. А нам этого и не надо! Т.к. чтение свопа CC-движка обычно доступно через бажную корзину. Итак, берем в кулак store.cgi. http://www.xakep.ru/cgi-
bin/Store/store.cgi?product=http://../../../../etc/passwd%00 Как видишь, поломка производится радикально просто - добавлением небольшой кучки /../ после переменной product (=) В итоге стягиваем любой файл системы. Главным образом - базу номеров. Здесь можно утянуть сорцы корзины + обнаружить списочек ее юзверов (прямая наводка кого ломать ;) - http://www.keyweb.com.
Windows 2000 IRDA Driver
by Paul Millar (paulm@astro.gla.ac.uk)
Всякий раз, активируя инфракрасный порт на своей Nokia 6210, я задумываюсь о секьюрности этого: а не перехватят ли таким образом мою записнуху, своп SMS-сообщений и другое? Пока все в порядке. Но IR встречается не только в мобилах и пультах от телевизора, в данном случае баг обнаружился в софте Win2K, заточенном на работу с инфракрасными девайсами. Баг - переполнение буфера в драйвере, обеспечивающем поддержку IRDA-протокола. Что же получается хорошего с дыры? Мы можем направлять левые пакеты в систему рассматриваемым путем. Стартануть исполняемый код не удастся, зато направить систему в ребут - окажется плевым делом. Предполагается, что машина атакующего должна находиться в непосредственной близости от жертвы для участия в IR-потоке. Дополнительная инфа в бюллетене от MS - http://www.microsoft.com/technet/security/bulletin/ms01-046.asp.
Lotus Domino mail server
by Ian Gulliver < ian@orbz.org >
Как-то ко мне обратился чел с просьбой добыть варезом ряд продуктов Лотуса. К чему оно ему было? Большинство работ рассматриваемой конторы имеет бесплатные аналоги. Но многих прельщает качественный саппорт, регулярные обновления... стереотипы опять же подавляют логику. Но, как показала практика, security-саппорт оказался не силен: новый баг является массивной тенью предыдущего, случившегося фактически дважды - в мае этого года и марте предыдущего. Коммерческие продукты обычно инсталлируют на мощные сервера. Но установившие Домино потеряют всяческую мощь путем 100% прогруза проца. Как? Отправляем письмо, вроде такого:
MAIL FROM:<bounce@[127.0.0.1]>
RCPT TO:<address@domain.com>
Фишка в том, что domain.com не относится к серверу получателя, и сервак, естественно, попытается вернуть письмо отправителю, но попадет на всем знакомый loop, т.е. войдет в петлю и достаточно быстро сожрет все 100% ресурсов системы. Баг протестирован на Lotus Domino R4.63, R5.01, R5.05 и R5.08. Официального патча пока не было, и единственным решением остается - перезапуск системы, удаление злополучного письма, перезапуск почтовика. Но это не станет капитальным решением трабла, т.к. в случае следующего получения заподлянного письма - глюк повторится.
