BugTraq #8
Xakep, номер #044, стр. 044-008-1
SideX (sidex@real.xakep.ru), выпуск посвящается мл. лейтенанту А.Чичериной
Переполнение буфера процедуры шифрования пароля в MS SQL 2000 Server
BT 5204
Класс - ошибка пересечения смежных условий
Тип эксплойтинга - удаленный
Дата - 10.07.2002
Уязвимый продукт - MS SQL Server 2000 (включая SP2)
Автор - MS Technet
Добрая половина июльского BT была поглощена проблемой SQL-серванта, что ветвисто развивалась из оригинального сообщения за номером 4847. Сегодня достигнутого объема дырок повторить не удастся, будет лишь парочка. Очевидно, искатели-колупатели MS'a ушли на летние каникулы - никаких новостей и про IE. Хотя скоро осень, 1 сентября, искатели вернутся из пионерских лагерей, и тогда только держись :).
Как часто бывает с переполнениями, рассматриваемая дыра обозначилась из отсутствия контроля над буфером процедуры шифрования пароля. Дополню, что подобная процедура юзается администраторами для идентификации подключающихся к информационному массиву SQL-сервера. Эксплойтинг осуществляется путем направления чрезвычайного объема данных как аргумента процедуры шифрования пароля. Итог - захват доступа к базе SQL, а также возможность исполнения процессов в системе с правами прохудившегося сервера (system, как водится). Эксплойта обнаружено не было.
Вторая проблема толком не ясна, т.к. на рабочей станции ее самому нащупать не удалось. SecFoc предательски молчит, а MS Technet (02-34 выпуск) отмазывается стандартным: заплатки пришивайте, а нос не суйте. Общие слова - получение контроля над SQL-сервером (целой системой) путем переполнения буфера процедуры контроля над заполнения таблиц SQL-сервера.
Третья проблема более визуальна. Поднятие уровня привилегий, как последствие некорректно обозначенного уровня доступа ключом реестра, содержащим информацию по учетной записи сервиса SQL Server'a. Немного послюнявив реестр RegEdit'ом, злодей мог поднять свой доступ до системного уровня.
Собирательный патч по всем трем проблемам доступен в MS Update'е. Рекомендации по безопасности типичны классическим выкладкам виктимологии. Минимум прав непроверенным пользователям - чуткое внимание группе администраторов, исключительная выдача xp_regwrite разрешения, ограничение доступа к процедурам "Окружением" (сделано по умолчанию). В подобных выкладках камуфлируется рекламный ход: не лезь - убьет, используешь "По умолчанию", как MS завещал, - все о'кэй.
Неплохая тактика, успешно использованная координаторами OpenBSD дистрибутива.
Проблемы с файл-дескрипторами ядра Linux
BT id 5178
Класс - ошибка дизайна
Тип эксплойтинга - локальный
Дата - 19.06.2002
Уязвимый продукт - Multi vendor
Автор - Paul Starzetz paul@starzetz.de
Редко в разделе "Linux" BT Security Focus'a можно отыскать новые записи по конкретному дистрибутиву - проблем сколько угодно, а вот загвоздки "ядерного" уровня случаются не столь часто. Нечто похожее творится и с BSD-клонами, чей первенец - FreeBSD - оброс, сравнительно недавно, проблемами с файл-дескрипторами. В ту же Ахиллесову пяту было пораженно ядро Linux.
Поражение, следует признать, неожиданное, т.к. еще в исследовании по FreeBSD основные Linux-дистрибутивы были протестированы на оригинальный free-шный баг. Обнаружено не было. Забыли лишь кусочка кода в fs/file_table.c, который ответственен за дополнительные слоты файл-дескрипторов, используемые root'ом. Боссам принято выделять специальные привилегии, как водится. Только вот не совсем боссовские setuid-бинарики a la "passwd" или "su" также способны подавить имеющиеся root-слоты. Избегая оригинального кода ядра, предлагаю просмотреть реакцию бажной системы на работу эксплойта, предложенного автором:
