Обзор эксплоитов

Докучаев Дмитрий aka Forb

Xakep, номер #056, стр. 056-048-1

(forb@real.xakep.ru)

Linux 2.4.x execve() file read race vulnerability

Описание:

27 июня этого года некий Paul Starzetz обнаружил уязвимость в коде ядра 2.4.*. Если в системе находится бинарный файл с флагом +s, недоступный для чтения, любой юзер может прочитать его, используя эксплоит, прилагающийся к статье багоискателя.

Как пишет Paul, существует возможность создания нового дескриптора, который хитрым способом зашаривается с ранее открытым и помещается в файловую таблицу. Таким образом, появляется доступ к бинарнику, ранее недоступному для чтения. Выложенная утилита для дампа бинарных файлов помогает реализовать вышеизложенный алгоритм. По истечении нескольких секунд, дампер создаст файл, аналогичный суидному, но уже доступный для чтения. Разумеется, что бита +s у него не будет.

Защита:

В своей статье автор эксплоита не говорит о способах защиты. Но, скорее всего, девелоперы ядра быстро залатают эту багу. Поэтому штурмуй багтраки в поисках патчей, либо качай новые версии ядра (их ты всегда сможешь найти на нашем CD). После этого твоя система будет в полной безопасности.

Ссылки:

Прочитать описание уязвимости можно по адресу http://security.nnov.ru/search/document.asp?docid=4753. Утилиту, реализующую дамп суидного файла можно скачать отсюда: http://www.starzetz.com/paul/suiddmp.c.

Злоключение:

Я считаю, что после применения эксплоита особый вред системе злоумышленник не причинит. Ты же не будешь ставить суидный бит на файлы с секретной информацией? ;) Но, несмотря на это, все же стоит принять меры по усилению безопасности своего сервера.

Greets:

Как было сказано выше, эксплоит был написан немцем Paul Starzetz. Желаешь связаться с ним? Пиши на paul@starzetz.de и жди ответа ;).

Local exploit for Eterm (Gid=utmp)

Описание:

Совсем недавно была найдена уязвимость в линуксовом терминале Eterm версии 0.9. Через переполнение буфера при разборе переменных окружения злоумышленник может получить gid=utmp. Принадлежность к этой группе дает доступ к таким файлам как /var/log/wtmp и /var/run/utmp. Иными словами, применив эксплоит, взломщик получает полный доступ к логам на сервере. Я думаю, комментарии тут излишни.

Принцип работы эксплоита следующий: сначала необходимо определить переменные окружения EGG и HOME. Первая задается посредством запуска скомпиленного плоита, вторая через perl-интерпретатор. Затем запускается сам терминал. При удачном раскладе хакер получает gid=utmp.

Защита:

Защититься от баги можно, установив свежую версию терминала (Eterm-0.9.2 уже не является уязвимым). Найти ты его можешь, как всегда, на www.freshmeat.net.

Ссылки:

Рабочий эксплоит лежит по адресу http://www.security.nnov.ru/files/bazarr-episode-3.c. Ссылка на багтрак:http://security.nnov.ru/search/document.asp?docid=2358.

Злоключение:

Несмотря на то, что рута эксплоит не дает, злоумышленник имеет возможность причинить вред серверу, потому как модификация логов не приводит ни к чему хорошему. Всем админам советую выполнить Eterm --version и в случае уязвимой версии срочно обновить терминал.

Greets:

Поведал миру о баге в терминале Charles Stevenson <core@bokeoa.com>. Правда, он откровенно признался, что слизал часть кода у своего друга Kevin Finisterre <dotslash@snosoft.com>.