[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
security/1997/の残件
- From: victory <victory.deb@xxxxxxxxx>
- Subject: security/1997/の残件
- Date: Sun, 4 Nov 2012 06:02:18 +0900
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=date:from:to:subject:message-id:x-mailer:mime-version:content-type :content-transfer-encoding; bh=WGsUfEor6hakEgV/DZnl2Apj5bFavgskdnqFzblxFbA=; b=S7a3Qt9Q/XuukgRH8e+er03wbZJOmu1lydAWOC5qK0FzpwzV/6wWTXDva8yrq4914R Hkwtw6GWeDwhE5DLVoOWSpQoG0jOMMBYzr8QWOypS0sv+FRRB33rfOLmiBPK0Oi14vVI Sij+m+UKKyYy4TflmyZcORvCLrih7aTwdrW0Gm/XuK3s/c8Yg+BPXBDhtK2oldRmKRL6 wm1bKMuUlbCZ4nkWqID2xI9JBhCPbeBSzUBN84VH8aIp+aWXUfNXtxV0XWuJmh3d1PJ7 M9jMLZ+eknoXk0SuT+3BA2/RabUGWlQPkrUM/h9auD0d5XhsOgaiUBC2sL3LpUvDMbyo hwFw==
- List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
- List-id: debian-www.debian.or.jp
- List-owner: <mailto:debian-www-admin@debian.or.jp>
- List-post: <mailto:debian-www@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
- X-ml-name: debian-www
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-original-to: debian-www-dist@debian.or.jp
- X-spam-checker-version: SpamAssassin 3.2.5 (2008-06-10) on osdn.debian.or.jp
- X-spam-level:
- X-spam-status: No, score=-3.4 required=10.0 tests=KI,RCVD_IN_DNSWL_LOW autolearn=disabled version=3.2.5
- Message-id: <20121104060214.31425ea09f9a51a9ea945c41@xxxxxxxxx>
- X-mail-count: 20393
- X-mailer: Sylpheed 3.2.0 (GTK+ 2.10.14; i686-pc-mingw32)
長めなので
http://www.debian.org/security/1997/19970220
http://www.debian.org/security/1997/19970409
---19970220
#use wml::debian::translation-check translation="1.9"
<define-tag description>「screen」プログラムが gecos フィールド複製時にオーバフロー</define-tag>
<define-tag moreinfo>
<p>オーバフローは存在しますが screen はコードの実行前に root 権限を破棄します</p>
<p>最初の報告提出者: Khelbin <khelbin@xxxxxxxxxx></p>
<p>Screen 3.07.02 で (通常どおりに) setuid root
した場合、少なくとも特定のプラットホームでバッファオーバフローに [陥りやすく]
なります。ソース全体を読んだわけではなく簡単に見てみただけですが、
attacher.c が:</p>
<pre>
struct passwd ppp;
char fullname[100];
strcpy(fullname, ppp->pw_gecos);
</pre>
<p>のようにしていることがわかりました。
簡単な悪用方法を作ることはできましたが、chpass/chfn
が特定の文字を除外しないため BSDI 1.1 では機能しませんでした。
このようにして、シェルコードでフルネームフィールドを読み込むことで
「Illegal Character found in the Full Name field, re-edit [y]?」
というようなエラーメッセージを出しています。</p>
<p>OS やバージョンを問わず、フィールドに入力される情報について
「不正な文字」や長さを確認していない chfn/chpass
(BSDI 1.1 は長さを確認しておらず、不正な文字だけを確認しています)
は脆弱な可能性があります (suid root 権限を取ることは、
シェルコード文字列でオーバフローさせることで\
実現しようとしていましたがまだ確認していません)。</p>
<p>やってみたことは、シェルコード文字列を環境変数にセットして (NOP と NOP
への戻りアドレスを付加して) 環境変数をファイルに書き込みます。それから新しい
gecos 情報として chpass/chfn が存在するときにそのファイルを読み込むだけです。</p>
</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/1997/19970220.data'
---19970409
#use wml::debian::translation-check translation="1.9"
<define-tag description>metamail に任意のコマンドを実行にできる可能性</define-tag>
<define-tag moreinfo>
<p>最初の報告提出者: Olaf Kirch <okir@xxxxxx></p>
<p>この欠陥は、タイプが message/external-body であるメッセージに対して
metamail に showext を実行させている場合に悪用可能である可能性があります。
少なくとも tcsh と、もしかすると他の csh
の一部でコマンドラインの引数を展開する際に恐ろしいことをしているようです。
スクリプトに引数として「foo FTP=/tmp/evilcmd」を与えると、</p>
<pre>
set var=$1
</pre>
<p>を実行します。これは foo を $var に、/tmp/evilcmd を
$FTP に割り当てます。残念ながら、metamail はコマンドラインに
MIME 属性を付加して showext を呼び出すので、基本的に</p>
<pre>
Content-type: message/external-body;
access-type="anon-ftp";
name="passwd";
site="monad.swb.de";
directory="/etc";
mode="image FTP=/tmp/evilcmd"
</pre>
<p>のようなヘッダを送ります。さらに続いて、スクリプトは $FTP を実行して FTP
接続を開始します。今のところ、引数をコマンドに渡すことはできていませんが、
それは上記のようにしてひどいことができないという意味ではありません。</p>
<p>[時間が過ぎたためパッチは削除されました。]</p>
</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/1997/19970409.data'
--
victory
no need to CC me :-)
http://userscripts.org/scripts/show/102724