LINUX.ORG.RU

Уязвимость в Linux 2.4.x execve() syscall


0

0

So, during the execution of new binary, the opened file descriptor to the executable is put into the file table of the current (the caller of execve()) process. This can be exploited creating a file sharing parent/child pair by means of the clone() syscall and reading the file descriptor from one of them.

>>> Подробности



Проверено: green

Ответ на: комментарий от anonymous

Никто пока не знает, но всякие файлики вроде как можно читать, которые +x

green ★★★★★
()

Единственное, что дает эта уязвимость: если юзер имеет право на исполнение файла, то он получает и право на чтение этого файла. Ничего больше.

nobody ★★
()

нифига себе, совсем маленькая такая уязвимость :) некоторые дыбилы пароль рута в скриптах оставляют

anonymous
()
Ответ на: комментарий от anonymous

Скрипт должен быть читаемым для выполнения все равно

green ★★★★★
()

А записью часом здесь не пахнет?

anonymous
()

Даже если пассворды в коде, этот код можно декомпилить. Конечно не рут - но где-то какой-то юзер/пассворд храниться должен (для баз данных - где мы имеем отличный от системы - секурити механизм)

Anode
()

но и нормальная прога должна хранить критические файлы a-x а то что исполняемое - то и читаемое. (в противном случае это должно наверное считаться больше дырой той проги)

Т.е. пока согласен с nobody (*) (2003-06-27 22:46:14.014946)

Anode
()

> Народ, сорри за оффтопик, но я тут идейку толкнул, подумайте, пжалста, а то чайникам вроде меня Линукс нравится, но слишком уж сложно осваивать его

В общем как в том анекдоте: "В гамаке и стоя".

anonymous
()

Вот я перешел на линукс. И думаю. Ни хуя себе дырочки находят.

anonymous
()

>Скрипт должен быть читаемым для выполнения все равно

Грин, ну тебе то стыдно.

-->ls -l /sbin/ping

-r-s--x--x 1 root weel .....

-->

Sun-ch
() автор топика

С каких это пор /bin/ping - скрипт?

# file /bin/ping /bin/ping: setuid ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), stripped

anonymous
()

2anonymous (*) (2003-06-28 11:00:00.410491):

> С каких это пор /bin/ping - скрипт?

Sun-ch просто показал, что ни какого скрипта и не надо, хватит и самого бинарника, чтоб его "обновить" с добавлением новых возможностей...

anonymous
()

так записывать можно?

arto ★★
()

Эх, зря вы так, товарищи, в конце-концов, Shit happens.

anonymous
()

gdb ping

Perm. denied

Вот так хер.

Но, если я сделаю бинарный дамп ping

то gdb ping.dump уже работает :)

А теперь ping заменим прогой, которая авторизует на доступ

к некоторому ресурсу

Можно получить массу интер. информации о механизме авторизации.

ЗЫ прога самописная, исходников конечно никто не даст :)

Sun-ch
() автор топика

Как там насчет патча?

P.S. Дырочки, дырочки - вон винда, вышел sp4 и хрен ли толку, если он из-за того, что у меня w2k русская не ставится? Маразм какой-то. Не тот язык - иди на.

jackill ★★★★★
()

Bugs suxxx :(

2Sun-ch (*) (2003-06-28 11:42:08.879335) поэтому ГОСТ 28147–89 и открытые ключи Rulezzz.

anonymous
()

например так psh можно расколоть, но конечно ей никто не пользуется

anonymous
()

>поэтому ГОСТ 28147–89 и открытые ключи Rulezzz.

Никакие ГОСТ тут не помогут если я буду знать некоторые особенности

дизайна,

Например прога может писать временные файлы в каталог, куда я имею

право писать и не имею право читать. Имя файла выбирается некоторым

случайным образом, угадать его нельзя.

Зная алгоритм генерации имен и содержимое файлов, в один прекрасный

момент я могу его перезаписать с нужной мней инфой :)

Sun-ch
() автор топика

пора выкидывать линух нахер.

anonymous
()

> пора выкидывать линух нахер.

выкини. хоть iq linux-сообщества повысится

anonymous
()

Угу, Винда рулит и переруливает, бастион стабильности,
не то что ваш линюух.

anonymous
()

2Sun-ch (*) (2003-06-28 13:21:19.040053)

>> случайным образом

ну, узнаю я доподлинно, что в проге есть вызов tmpfile или tmpnam, и кто мне это оплатит?

anonymous
()

>ну, узнаю я доподлинно, что в проге есть вызов tmpfile или tmpnam, и кто мне это оплатит?

man tmpfile

Секция SECURITY CONSIDERATIONS

Sun-ch
() автор топика
Ответ на: комментарий от Sun-ch

Ты забрутфорсишь mkstemp(3)? Поставлю пива в случае успеха ;-) А вообще, для такого анализа +r не нужен, достаточно strace.

trunk
()

эй маздайные анонимусы! вы почту сегодня читали?

Title: Flaw in ISAPI Extension for Windows Media Services Could
Cause Code Execution (822343)
Date: 25 June 2003
Software: Microsoft(r) Windows(r) 2000
Impact: Allow an attacker to execute code of their choice
Max Risk: Important
Bulletin: MS03-022

anonymous
()

Обычно все программы в /sbin Linux'a имеют права -rwxr-xr-x 1 root root

т.е. читать их никто не запрещает. Потому что (1) sеcurity by obscure - suxx и нефиг на неё надеяться-полагаться, (2) strace от запрещения читать екзешник тоже никуда не девается.

speer
()

Суперкомпьютер от CRAY будет работать под SuSE

>Ты забрутфорсишь mkstemp(3)? Поставлю пива в случае успеха ;-) А вообще, для такого анализа +r не нужен, достаточно strace.

Речь не об этом,

Допустим девелоп. прочел

man tmpfile

Секция SECURITY CONSIDERATIONS

и реализовал собственный алгоритм (уникальный но простой)

И вот тут мы его и поймаем

А могут ли простые юзеры делать strace на produc. системе,

к примеру если там крутится биллинг ?

Sun-ch
() автор топика

>Секция SECURITY CONSIDERATIONS

>и реализовал собственный алгоритм (уникальный но простой)

И это будет даже самой большой его глупостью.

Кстати, в альте коллективно пишут полувиртуальную книжку-сборник-справочник правильных реализаций стандартных задач. Недавно она пополнилась как раз решением на тему "работа с временными файлами". :)

mktemp в нем нет. (он вообще запрещен.)
но и кривого велосипеда тоже.

>И вот тут мы его и поймаем

Поймают его в любом случае. И лучше бы пораньше.

AVL2 ★★★★★
()

>>>коллективно пишут полувиртуальную книжку-сборник-справочник правильных реализаций стандартных задач.

А коллективно почитать её где можно?

speer
()

Суперкомпьютер от CRAY будет работать под SuSE

>А коллективно почитать её где можно?

Чтобы коллективно зарелизить эксплоит к плодам "коллективного разума" ?

Sun-ch
() автор топика

Нет, чтобы разум не обольщался, а совершенствовался...

speer
()

2anonymous (*) (2003-06-28 14:03:12.674094): Нню-нню... Мы, конечно, мнгновенно забыли про ошибочку в службе Windows Media Services: всё-таки, она по умолчанию не запускается, а пользует её дай Бог 1% серверов на основе MD.
Но вот про глюки в "сверхнадежной" службе Passport стоит вспомнить подробнее. Сколько там пользователей сейчас? 200'000'000? И номера кредитных карт, адреса, телефоны, семейное положение и прочее было, фактически, в свободном доступе. :-) Вот _ЭТО_ действительно _ГЛЮК_. И, потенциально, всеми ненавидимая конторка Билли-Гада в настоящий момент рискует "попасть" на $2'200'000'000'000. Согласно ими же данным обязательствам: платить 11 килобаксов за каждый случай взлома службы Password. На мой взгляд, пора фанатам макросакса хвататься за голову и срочнейше разрабатывать варианты перехода на альтернативные ОС... Конечно, Linux и *BSD они в качестве вариантов рассматривать не будут (ибо сакс), так что прямая дорога фанатам маздайки в ряды фанатов давно умершей BeOS... :-))))))))))))))))))))))))))))

R00T
()

да беос еще жив вроде.

anonymous
()

Классная дыра! И я ей уже воспользовался в нашей университетской сетке

anonymous
()

>>Кстати, в альте коллективно пишут полувиртуальную >>книжку-сборник-справочник правильных реализаций стандартных задач. >>Недавно она пополнилась как раз решением на тему "работа с временными >>файлами". :)

А как на счет этот труд почитать почитать ???????

>>Классная дыра! И я ей уже воспользовался в нашей университетской сетке

Ну и как нашел какие нибудь пассворды ???

D_D
()

>А коллективно почитать её где можно?
К сожалению, не знаю.
Я вообще не уверен, что она существует в б/м цельном виде.

AVL2 ★★★★★
()

2D_D:

> Ну и как нашел какие нибудь пассворды ???

А зачем? А теперь root и у меня нет ограничения на размер моей директории, почтового ящика и самое главное траффика в интернет. А сегодня вечером еще себе и инетернет для дома через универ настроил, красота! :)

anonymous
()

Народ, сорри за оффтопик, но я тут идейку толкнул, подумайте, пжалста, а то чайникам вроде меня Линукс нравится, но слишком уж сложно осваивать его. Помогите, а? Не ругайте сильно.

anonymous (*) (2003-06-28 01:21:27.413659)
---------------------------------------------------
Zelo, это ты, что ли? Тебе же разжевали, что делать...
Повторяю: поставь себе шапку/шлаку/сузю/дебиан, и сходи на их сайт(ы).
Там усе для начинающих есть... Нечего велосипед изобретать.

P.S. Есть вопросы - пиши, помогу. eduard70@mail.ru

anonymous
()

> А теперь root и у меня нет ограничения на размер моей директории

чета звиздишь ты) нука линк на експлоит ;-)

anonymous
()

anonymous (*) (2003-06-28 01:21:27.413659)

А ты купи лицензионный ASPLinux на 3 дисках за 240 рублей (на Арбате например), имеешь право задавать вопросы по телефону и на поддержку. Хотя, если человек винды умеет ставить, то ASPLinux и RedHat Cyrillic Edition он тоже должен поставить.

anonymous
()

2anonymous (*) (2003-06-29 13:40:39.904538):

> чета звиздишь ты) нука линк на експлоит ;-)

Сам написал по мотивам линка к этой новости. А давать этот эксплоит я не собираюсь, а то в итоге я потеряю, что имею. Могу сказать, что там все достаточно просто, единственная загвоздка это заставить админа запустить нужную программку два раза...

anonymous
()

> загвоздка это заставить админа запустить нужную программку два раза...

я извиняюсь, но если админ запустит нужную _тебе_ прогу хотя бы один раз то никаких дыр в ядре и даром не надо.... тоже мне, достижение..

anonymous
()

> я извиняюсь, но если админ запустит нужную _тебе_ прогу хотя бы один раз то никаких дыр в ядре и даром не надо.... тоже мне, достижение

Но у меня-то на эту программу вообще ни каких прав небыло (ну разве что мог её запускать) :))) А после этой дырочки уже все что надо имеется. :)))

anonymous
()

А есть ли готовый патч для 2.4.21 и где его взять?

anonymous
()

А у меня чего-й то эта дыра не работает 
Чего я делаю не так ? 

sS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.