BugTraqSideX (sidex@real.xakep.ru)Ïåðåïîëíåíèåáóôåðà â MS SQLServer’eBT id 4135Êëàññ - îøèáêàñìåæíûõ óñëîâèéÒèï ýêñïëîéòèíãà -óäàëåííûéÄàòà - 19.02.02Óÿçâèìûé ïðîäóêò - MSSQL Server 7.0 - 2000 SP2Àâòîð - Cesar Cerrudocesarc56@yahoo.com×òî òàêîå Microsoft SQL Server, âíåçàâèñèìîñòè îò åãî 7.0 èëè 2000âåðñèè, ÿ ðàññêàçûâàòü íå áóäó.Ñàìè çíàåòå. Ëèøü ïîÿñíþ, ÷òîáàã äàííîãî ïîñòèíãà áàçèðóåòñÿíà êîíêðåòíîé ÷àñòè ñåðâåðà - OLEDB, êîòîðàÿ îáðàáàòûâàåò ðàñïðåäåëåííûåçàïðîñû èç ðàçëè÷íûõèñòî÷íèêîâ. Çàïðîñû ìîãóò ïðèõîäèòüêàê “âíóòðè” êîìïà, ãäå êðóòèòñÿñåðâåð, òàê è èç Ñåòè. Îäíèèç êëþ÷åâûõ ôóíêöèé îáúåêòà -OpenQuery, OpenDataSource èOpenRowset. Âòîðàÿ è òðåòüÿôóíêöèè äîñòóïíû äëÿ âñåõ ïîëüçîâàòåëåéè ñîäåðæàò áóôåð, ïîòåíöèàëüíîäîñòóïíûé äëÿ ïåðåïîëíåíèÿ.Ïðîáëåìû ïåðåïîëíåíèÿè D.o.S’a âîçíèêàþò ïðè ïîäà-÷å ÷ðåçìåðíî äëèííîé ñòðîêè â“provider name” ïàðàìåòðå.Íà ìîìåíò ïåðåâîäà ïîñòèíãà (3äíÿ ñ åãî ïîÿâëåíèÿ óSecurityFocus) MS ïîïàðèëèñü èïîäãîòîâèëè ïàò÷è http://support.microsoft.com/support/misc/kblookup.asp?id=Q318268 äëÿ 7.0 èhttp://support.microsoft.com/support/misc/kblookup.asp?id=Q316333 äëÿ àäìèíîâ 2000. Ñòîèò çàìåòèòü,÷òî, ïî çàÿâëåíèþ èñêàòåëÿáàãà, õîçÿåâà äûðÿâîãî ïðîäóêòàïðåêðàòèëè ñ íèì ïåðåïèñêó îâîçìîæíîñòè óñòðàíåíèÿ äûðûìèðíûì ïóòåì, áåç ïîÿâëåíèÿ ïîñòèíãàâ BT.Óÿçâèìîñòü SNMP-ïðîòîêîëàãëîáàëüíîãî õàðàêòåðàBT id 4089Êëàññ - íåèçâåñòåíÒèï ýêñïëîéòèíãà - óäàëåííûéÓÿçâèìûé ïðîäóêò - multivendor(ìàññîâî ðàñïðîñòðàíåíî)Äàòà - 12.02.02Àâòîð - Oulu UniversitySecure Programming GroupÐàñïîëîæåííûé ÷óòü â ñòîðîíå ïîñòèíã îSquid’e - ëèøü ëåãêîå ýõî ðàçðàçèâøåãîñÿóäàðà ïî SNMP. Êàê óæå áûëî îòìå÷åíî,ïîëíóþ èíôîðìàöèþ ïî ðàññìàòðèâàåìîìóïðîòîêîëó ñëåäóåò èñêàòüâ RFC 1157. Âêðàòöå, ñèì îáåñïå-÷èâàþòñÿ îòíîøåíèÿ «ìåíåäæåð-àãåíò»,êîãäà àäìèíèñòðèðóåìûå ñèñòåìû îò÷èòûâàþòñÿïåðåä «íà÷àëüíèêîì» î òåêóùåìñîñòîÿíèè äåë, ðàáîòîñïîñîáíîñòèè êîíôèãóðàöèè. Óïðàâëÿåìûå àãåíòûîáúåäèíÿþòñÿ è çàíîñÿòñÿ â Áàçó ÈíôîðìàöèîííîéÊîîðäèíàöèè (MIB).Ïðîòîêîë ïîääåðæèâàåòñÿ, êàê áûëîóêàçàíî â çàãîëîâêå, multi-vendor’íî,ò.å. áàã ðàçáåãàåòñÿ ñðàçó ïî êó÷å ñèñòåì:îò MS Windows äî Sun Solaris.Áàã, ãëàâíûì îáðàçîì, ïðîÿâëÿåòñÿ âïðîöåññå ïðèíÿòèÿ è îáðàáîòêè SNMPñîîáùåíèé.Ñðåäè âîçìîæíûõ ïîñëåäñòâèé- D.o.S àòàêóåìîãî îáúåêòà, àòàêæå, ïîòåíöèàëüíî, ïîëó÷åíèå êîíòðîëÿíàä ñèñòåìîé. Ñåðüåçíîñòü ïîñëåäñòâèéçàâèñèò îò êîíêðåòíîé ðåàëèçàöèèïðîäóêòà, áàçèðóþùåãîñÿ íàSNMP. Óíèâåðñàëüíîãî ýêñïëîéòà, ÷òîâïîëíå ïîíÿòíî, çàìå÷åíî íå áûëî, èâñå ôîêóñû ïî òåìå áàãà - ñóãóáî èíäèâèäóàëüíûîò ñèñòåìû ê ñèñòåìå. Òàê÷òî, ãîñïîäà k1d’û, â îäíó ðóêó - RFC,â äðóãóþ - “How to learn ansi C in 21days” =). BID SecurityFocus’a - êðàéíåáåäåí, ñòðîãî ðåêîìåíäóåòñÿ îçíàêîìèòüñÿñ ìíîãî÷èñëåííûìè îáçîðàìèäûðû îò ðàçëè÷íûõ security-êîíòîð èïðîèçâîäèòåëåé óÿçâëåííûõ SNMP-áàãîìïðîäóêòîâ. Ãëàâíûì îáðàçîì, ñòîèòîáðàòèòü âíèìàíèå íà ðàáîòóCERT’a - http://www.cert.org/advisories/CA-2002-03.html.Ïàò÷è ïî òåìå, êàê è ýêïëîéòû, óíèêàëüíû,òàê ÷òî èùèòå â update’àõ îðèãèíàëüíûõïðîèçâîäèòåëåé. Èõ ñïèñîêâñå åùå ïðîäîëæàåò ïîïîëíÿòüñÿ ;).Ïåðåïîëíåíèå áóôåðà â MS Telnet ñåðâèñåBT id 4061Êëàññ - îøèáêà ñìåæíûõ óñëîâèéÒèïà ýêñïëîéòèíãà - óäàëåííûéÄàòà - 07.02.02Óÿçâèìûé ïðîäóêò - Windows 2000 Server/AdvancedServer/DaracenterÀâòîð - MS TechnetTelnet ñåðâåð äàåò âîçìîæíîñòü óäàëåííîé ðàáîòû ñ ñèñòåìîé. Äàííûé ñåðâèñäîñòóïåí â ñåðâåðíîé ëèíåéêå Windows 2000, à òàêæå îñÿõ, ïîääåðæèâàåìûõInterix 2.2. Áàã, ïî îáûêíîâåíèþ, ÿâëÿåòñÿ ïåðåïîëíåíèåì áóôåðà, ïðÿ÷àñü â êîäå,îòâå÷àþùåì çà îáðàáîòêó ðàçëè÷íûõ îïöèé telnet’a. Óäà÷íûé ýêñïëîéòèíãïðèâîäèò ê îáâàëó Telnet-ñåðâåðà, à òàêæå ïîòåíöèàëüíî ïîçâîëÿåò èñïîëíèòüïðîèçâîëüíûé êîä â óÿçâèìîé ñèñòåìå.Êàê âèäíî èç çàãîëîâêà, èíôîðìàöèÿ ïî äûðå áûëà âûäàíà ñàìèì MS, òàê ÷òî íàãëóáîêèå òåõíè÷åñêèå ïîäðîáíîñòè ðàññ÷èòûâàòü íå ïðèõîäèòñÿ. Ìû ìîæåì íàéòèëèøü êëàññè÷åñêèå «ñìÿã÷àþùèå îáñòîÿòåëüñòâà», ò.å. ïîïûòêè óáåäèòü ïîëüçîâàòåëÿ,íàñêîëüêî åìó íå îïàñåí ñâåæèé áàã.  äàííîì ñëó÷àå ïðèâîäèòñÿ òî,÷òî ïî óìîë÷àíèþ Telnet-ñåðâåð íå çàïóùåí, à â ñëó÷àå Interix’a ìîæíî ñíèçèòüïîëíîìî÷èÿ ÷åðåç security-íàñòðîéêè ñ êëàññè÷åñêîãî óðîâíÿ - system.Ïàò÷ äîñòóïåí â îòäåëüíîé ïîñòàâêå è ÷àñòüþ Windows 2000 Security RollupPackage 1 (SPR1), êîòîðûé ÿâëÿåòñÿ ïðîäîëæåíèåì SP2 è òðåáóåò åãî íàëè÷èÿ.Çàìåòíî, ÷òî äàííûé ïàêåò äîñòóïåí íàì ñ 16 ÿíâàðÿ, à îïèñûâàåìûé áàã ñTelnet-ñåðâåðîì - óæå 7 ôåâðàëÿ. Íàâîäèò íà èíòåðåñíûå ìûñëè î ñïîñîáàõ ïîèñêàáàãîâ: ïëîòíî ðàçáðàñûâàåì checkpoint’û ïî ñèñòåìå, çàëèâàåì ïîñëåäíèéSP è àíàëèçèðóåì âñå èçìåíåíèÿ ñèñòåìû, äåëàåì âûâîäû. Èäåÿ íå íîâà, íî åñëèêòî-òî èç ÷èòàòåëåé ïðàêòèêóåò ïîäîáíîå - áûëî áû èíòåðåñíî ïîîáùàòüñÿ,ìûëî â íà÷àëå ìàòåðèàëà.Íàðóøåíèå ñåãìåíòàöèèâ Sun Java VMBT id 3992Êëàññ - îøèáêà îáðàáîòêè÷ðåçâû÷àéíûõ óñëîâèéÒèï ýêñïëîéòèíãà -ëîêàëüíûéÄàòà - 30.01.2002Óÿçâèìûé ïðîäóêò - SUN JRE(Linux Production Release)1.2.2; 1.3.1Àâòîð - Taeho Ohohhara@postech.eduÊàê èçâåñòíî, äëÿ ôóíêöèîíèðîâàíèÿJava-ïðîãðàìì òðåáóåòñÿ íàëè÷èåÂèðòóàëüíîé Ìàøèíû (VM) Äæàâû.Sun ïîäãîòîâèëà ðåàëèçàöèþ ñâîåãîäåòèùà ïîä ìàññó ïëàòôîðì, â òîì÷èñëå è äëÿ Linux’a. Ïðîáëåìà âîçíèêàåòêàê ðàç ñ ïîñëåäíèì òâîðåíèåì.Ñòàíîâèòñÿ âîçìîæíûì çàâàëèòü SunJVM ïóòåì êîíñòðóêöèè java-ïðîãðàììûçëîáíîãî ñîäåðæàíèÿ. Çàâàë ìîæåòîáåðíóòüñÿ â D.o.S âñåãî ñèñòåìíîãîîêðóæåíèÿ. Âîçìîæíîñòü æåñòîêîéðàñïðàâû íàä Ìàøèíîé áûëàïðîäåìîíñòðèðîâàíà íà ïðèìåðå Ëèíóêñ-âåðñèè.Ïðèìåð ýêñïëîéòà íàñòîëüêîêîðîòîê, ÷òî ÿ ïðèâåäó åãîïðÿìî çäåñü:public class CrashMe{public static void main(String[] args){java.security.AccessController.doPrivileged((java.security.PrivilegedAction)null);}}8Íüþñû1 2 3 4Ôåððóì PC_Zone X-Ñòèëü Âçëîì
Ïåðåïîëíåíèå áóôåðà è D.o.S â SquidBT id 4148; 4146; 4150Êëàññ - îøèáêà ñìåæíûõ óñëîâèé; îøèáêà ïðè îáðàáîòêå÷ðåçâû÷àéíûõ óñëîâèé; îøèáêà äèçàéíàÒèï ýêñïëîéòèíãà - óäàëåííûéÄàòà - 21.02.2002Óÿçâèìûé ïðîäóêò - Squid Web Proxy 2.0-2.4 (3)Àâòîð - Jouko Pynnonen jouko@solutions.fi, Henrik NordstromÍåðàäèâûå ïîëüçîâàòåëè íàãîíÿþò òðàôôèê â òâîåé ñåòè ïðîñìîòðîì ïîðíóõè, è íà÷àëüñòâîäàëî çàäàíèå ñíèçèòü ïîêàçàòåëü ñ 60% äî 40? =) Ñòàâèì Squid, ñíàáäèâ åãî çàäàíèåì ôèëüòðîâàòüXXX-ñàéòû! Ïî ïðàêòèêå èìåííî ýòîò çâåðü íàèáîëåå óäîáåí ïðè ôèëüòðàöèè, äà è âîîáùå,íà ìîé âçãëÿä, ÿâëÿåòñÿ ëó÷øèì *nix-ïðîêñîì. Íåðàäèâûé àäìèí çàïðåòèë êà÷àòü mp3-øêè è divx’û? =( Ðàçáèðàåì åãî ïðîêñè, à ìîæåò, âñþ ñèñòåìó ÷åðåç óñòàíîâëåííûé Squid! îäèí äåíü ãîðÿ÷èå ôèíñêèå ïàðíè ñíàáäèëè íàñ àæ òðåìÿ áàãàìè â Squid’e, êîòîðûå óäàëåííîýêñïëîéòÿòñÿ. Íàèáîëüøèé èíòåðåñ âûçâàëî ïåðåïîëíåíèå áóôåðà ÷åðåç ïîñûëêóîïðåäåëåííîãî FTP URL’a ïðîêñè-ñåðâåðó. Ðåçóëüòàò àòàêè - ïîëó÷åíèÿ shell’a ñ ïðèâèëåãèÿìèþçåðà, ñ êîòîðîãî êðóòèòñÿ squid; óäà÷íûé ðåçóëüòàò - ïîëó÷åíèå root-äîñòóïà. Âòîðîåìàëîâåðîÿòíî, ò.ê. äàëåêî íå âñÿêèé àäìèí àêòèâèðóåò chroot-îïöèþ â squid.conf. Ýêñïëîéòèíãñ èñïîëíåíèåì íóæíîãî êîäà æåñòêî ïðèâÿçàí ê êîíêðåòíîé ñèñòåìå, ò.ê. ðàáîòàåò íàïðÿìóþñ malloc(), êîòîðûé ðåàëèçóåòñÿ èíäèâèäóàëüíî â êàæäîé ñèñòåìå. D.o.S æå îðãàíèçîâûâàåòñÿòðèâèàëüíîé ïîñûëêîé ñóïåðäëèííîãî ëîãèíà è ïàðîëÿ.Êàê òû çàìåòèë ïî çàãîëîâêó, çäåñü îïèñûâàþòñÿ ñðàçó òðè áàãà. Âòîðîé «äûð» ïîÿâëÿåòñÿñ àêòèâàöèåé ïîääåðæêè SNMP-ïðîòîêîëà (îòêëþ÷åíî ïî óìîë÷àíèþ), î êîòîðîì ìîæíî ïîäðîáíååóçíàòü èç 1157 RFC. Àêòèâèðóåòñÿ íîñèòåëü äûðû ïðè êîìïèëÿöèè, êëþ÷îì —enable-snmp, à ýêñïëîéòèòñÿ ïîñûëêîé ïàêåòîâ ñïåöèàëüíîãî ñîäåðæàíèÿ. Ñèñòåìà ðåàãèðóåòæîðîì âñåõ ðåñóðñîâ, äîñòóïíûõ Squid’ó, ò.å. ìîæåò çàâàëèòü âñþ ðàáîòó, åñëè íå áûëîóñòàíîâëåíî îãðàíè÷åíèé äëÿ îáîçíà÷åííîãî ïðîêñà.Ïîñëåäíèé áàã îñíîâàí íà àêòèâèðîâàííîé ïîääåðæêå äîñòàòî÷íî ìîëîäîãî ïðîòîêîëà -HTCP (2756 rfc), êîòîðûé, êàê è ïðåäûäóùèé àêòèâàòîð áàãà, íå âêëþ÷åí ïî óìîë÷àíèþ âSquid’e. Òóò ïðîáëåìà çàêëþ÷àåòñÿ â íåâîçìîæíîñòè îòêëþ÷åíèÿ îáðàáîòêè HTCP ÷åðåçsquid.conf, íåñìîòðÿ íà óáåæäåíèå â ýòîì ñî ñòîðîíû äîêóìåíòàöèè ïðîêñè-ñåðâåðà. Ò.å.àêòèâèðîâàííûé ïî õîäó êîìïèëÿöèè (—enable-htcp), îí îñòàíåòñÿ â ñèñòåìå âïëîòü äî âòîðè÷íîéêîìïèëÿöèè áåç èñïîëüçîâàíèÿ óêàçàííîãî êëþ÷à.Âñå îïèñàííûå ïðîáëåìû ñõîäÿò íà «íåò» ñ óñòàíîâêîé Squid’a âåðñèè 2.4 stable 4 èëè æå ñäîáàâëåíèåì êðàòêîãî êîäà â 2.4 (3). Êàê âîäèòñÿ, ïåðâûé ìåòîä ïðåäïî÷òèòåëåí.Äàííûé ïðîäîëæèòåëüíûé ïîñòèíã íàâåâàåò ìûñëè íàñ÷åò òîãî, ÷òî íå ñòîèò ïðè êîìïèëÿöèèàêòèâèðîâàòü ìàëîçíàêîìûå îïöèè, êîòîðûìè òû, ñêîðåå âñåãî, íå áóäåøü ïîëüçîâàòüñÿ.Òàêæå â 10001-ûé ðàç ñòîèò çàäóìàòüñÿ î ìàêñèìàëüíîì ñîêðàùåíèå suid’íûõ ïðîã ñðåäèïðîöåññîâ ñèñòåìû è íå óâëåêàòüñÿ chroot’îì.5 Êîäèíã 6 Hack-Faq 7 JoyStick 8 Þíèòû 9 Quit> 9