У р н а л




PDF просмотр
НазваниеУ р н а л
страница5/71
Дата конвертации29.10.2012
Размер1 Mb.
ТипРуководство
1   2   3   4   5   6   7   8   9   ...   71



д

BugTraq
SideX (sidex@real.xakep.ru)
выпуск посвящается мл. лейтенанту А.Чичериной

Проблемы с файл-дескрипторами ядра Linux
BT id 5178
Класс - ошибка дизайна
Тип эксплойтинга - локальный
Дата - 19.06.2002
Уязвимый продукт - Multi vendor
Автор - Paul Starzetz paul@starzetz.de
Редко в разделе «Linux» BT Security Focus’a можно отыскать новые записи по конкретно-
му дистрибутиву - проблем сколько угодно, а вот загвоздки «ядерного» уровня случают-
ся не столь часто. Нечто похожее творится и с BSD-клонами, чей первенец - FreeBSD -
оброс, сравнительно недавно, проблемами с файл-дескрипторами. В ту же Ахиллесову
пяту было пораженно ядро Linux. 
Поражение, следует признать, неожиданное, т.к. еще в исследовании по FreeBSD ос-
новные Linux-дистрибутивы были протестированы на оригинальный free-шный баг. Об-

Переполнение буфера процедуры шифрования пароля
наружено не было. Забыли лишь кусочка кода в fs/file_table.c, который ответственен за
дополнительные слоты файл-дескрипторов, используемые root’ом. Боссам принято вы-

в MS SQL 2000 Server
делять специальные привилегии, как водится. Только вот не совсем боссовские setuid-
BT 5204
бинарики a la «passwd» или «su» также способны подавить имеющиеся root-слоты. Из-
Класс - ошибка пересечения смежных условий 
бегая оригинального кода ядра, предлагаю просмотреть реакцию бажной системы на
Тип эксплойтинга - удаленный 
работу эксплойта, предложенного автором:
Дата - 10.07.2002
sidex@xakep:~> id
Уязвимый продукт - MS SQL Server 2000 (включая SP2)
uid=500 (sidex) gid=100 (users)
Автор - MS Technet 
sidex@xakep:~> ./fddos
errno 24 pid 24087 got 1021 files

Добрая половина июльского BT была поглощена проблемой SQL-серванта,
errno 24 pid 24088 got 1021 files
что ветвисто развивалась из оригинального сообщения за номером 4847.
errno 24 pid 24089 got 1021 files
errno 24 pid 24090 got 1021 files

Сегодня достигнутого объема дырок повторить не удастся, будет лишь
errno 24 pid 24091 got 1021 files
парочка. Очевидно, искатели-колупатели MS’a ушли на летние каникулы -
errno 24 pid 24092 got 1021 files
никаких новостей и про IE. Хотя скоро осень, 1 сентября, искатели вернутся
errno 24 pid 24093 got 1021 files
из пионерских лагерей, и тогда только держись :). 
errno 23 pid 24094 got 807 files
Как часто бывает с переполнениями, рассматриваемая дыра обозначилась из
отсутствия контроля над буфером процедуры шифрования пароля. Дополню,

Нехитрой операцией достигается указанный лимит, поедая некоторые файл-дескрипто-
что подобная процедура юзается администраторами для идентификации
ры (fd) root’a. Далее начинаем освобождение отдельных fd:
подключающихся к информационному массиву SQL-сервера. Эксплойтинг
pid 24094 closing 809
осуществляется путем направления чрезвычайного объема данных как
pid 24094 closing 808
аргумента процедуры шифрования пароля. Итог - захват доступа к базе SQL, а
pid 24094 closing 807
также возможность исполнения процессов в системе с правами
pid 24094 closing 806
прохудившегося сервера (system, как водится). Эксплойта обнаружено не было. 
pid 24094 closing 805
Вторая проблема толком не ясна, т.к. на рабочей станции ее самому нащупать
pid 24094 closing 804
не удалось. SecFoc предательски молчит, а MS Technet (02-34 выпуск)
pid 24094 closing 803
pid 24094 closing 802

отмазывается стандартным: заплатки пришивайте, а нос не суйте. Общие слова
Исполнение /usr/bin/passwd
- получение контроля над SQL-сервером (целой системой) путем переполнения
Old Password:
буфера процедуры контроля над заполнения таблиц SQL-сервера. 
Третья проблема более визуальна. Поднятие уровня привилегий, как последствие

Стартуем бинарик fddos’a (эксплойт) под обычным, неroot’овым пользователем на пер-
некорректно обозначенного уровня доступа ключом реестра, содержащим
вом терминале:
информацию по учетной записи сервиса SQL Server’a. Немного послюнявив
xakep:~ #id
реестр RegEdit’ом, злодей мог поднять свой доступ до системного уровня.
bash: /usr/bin/id: Too many open files in system
Собирательный патч по всем трем проблемам доступен в MS Update’е.
xakep:~ # w
Рекомендации по безопасности типичны классическим выкладкам
bash: /usr/bin/w: Too many open files in system 
виктимологии. Минимум прав непроверенным пользователям - чуткое
внимание группе администраторов, исключительная выдача xp_regwrite

Система убита!
разрешения, ограничение доступа к процедурам «Окружением»
Универсального, временного решения нет. Разве что установка глобального, для каждого
(сделано по умолчанию). В подобных выкладках камуфлируется
юзера файлового лимита. Сие реализуется в контексте uid/euid-политики. Полный захват си-
стемы пока не был осуществлен по указанной уязвимости, но выглядит вполне возможным.

рекламный ход: не лезь - убьет, используешь «По умолчанию», как MS
завещал, - все о’кэй.  Неплохая тактика, успешно использованная
координаторами OpenBSD дистрибутива.

8 Ньюсы
1 Феррум 2 PC_Zone 3 Взлом
4 Юниксоид
1   2   3   4   5   6   7   8   9   ...   71

Разместите кнопку на своём сайте:
TopReferat


База данных защищена авторским правом ©topreferat.znate.ru 2012
обратиться к администрации
ТопРеферат
Главная страница