[GNU Mailutils imap4d remote F-S exploit]

Описание:

Еще весной в багтраке появилась новость, сообщающая о том, что в известном продукте GNU Mailutils закрались несколько подозрительных уязвимостей. Все они, так или иначе, переполняли буфер и провоцировали DoS-атаку. Как это обычно бывает, багоискатели не сообщили никаких подробностей об ошибках. Только в конце сентября команда iDEFENSE открыла людям глаза, написав эксплойт, запускающий командный интерпретатор.

Суть ошибки проста как мир: в коде модуля search.c отсутствует проверка на длину поисковой переменной. Таким образом, взломщик выполняет команду IMAP вида «SEARCH TOPIC %08x.%08x.%08x.%08x shellcode» и получает права суперпользователя (или юзера, запустившего imap4d).

Защита:

Защититься от бреши можно двумя способами: поставить патч, который предлагают iDEFENSE (http://savannah.gnu.org/patch/download.php?item_id=4407&item_file_id=5160), либо обновить версию Mailutils с официального сайта (www.gnu.org/software/mailutils/mailutils.html).

Ссылки:

Скачивай эксплойт по ссылке www.securitylab.ru/poc/extra/240351.php. Подробный некролог от iDEFENSE ты можешь прочитать по адресу www.idefense.com/application/poi/display?id=303&type=vulnerabilities&flashstatus=true.

Злоключение:

Помимо этой бреши, в mailutils нашли занятную SQL-инъекцию. Пока особых подробностей не сообщается, но известно, что баг таится в сишнике auth/sql.c. Так что исследуй код и набредешь на истину :).

Greets:

Как всегда отличилась команда iDEFENSE. Дружно поблагодарим ее за столь щедрый эксплойт и пожелаем развиваться в том же направлении.

[iGateway «debug» mode remote BоF exploit]

Описание:

В прошлом выпуске я писал о досадном баге в программном продукте Snort. Спустя месяц мир узнал о похожей уязвимости, правда, уже в проекте iGateway от известного производителя Computer Associates. Как и в Snort, брешь вызывается кривым запросом к демону и может быть выявлена только при запуске в режиме отладки (этот режим выключен по умолчанию).

Но главное отличие от бреши в Snort — ошибка может привести к выполнению произвольного кода. Так, например, в выложенном эксплойте запускается шелл на порту 1711.

Если внимательно посмотреть в код эксплойта, то можно увидеть два таргета для систем WinXP+SP2 и Win2k+SP4. Прежде чем компилировать сишный код, проверь версию системы и откомментируй нужную строку.

Защита:

Пока компания Computer Associates не отреагировала на баг в продукте и не выпустила никаких заплаток и новых релизов. Поэтому единственный способ залатать брешь — отказаться от запуска в режиме отладки.

Ссылки:

Скачать эксплойт можно здесь: www.securitylab.ru/poc/extra/241012.php. Подробное описание бага находится по ссылке www.securitylab.ru/vulnerability/source/241010.php.

Злоключение:

Большинство администраторов любят включать различные продукты в режиме дебага. Такие люди могут здорово пострадать от шаловливых хакерских рук. Поэтому мой тебе совет — никогда не включай отладку и не доверяй продуктам третьих производителей.

Greets:

Об ошибке в программном продукте сообщил некто Erika Mendoza. Поблагодарим его (или ее) за столь интересную информацию.

В популярном линуховом плеере с именем xine была найдена критическая ошибка. Баг находится в файле input_cdda.c и представляет собой обычную уязвимость форматной строки. Как ты, наверное, понял, код этого сишника выполняется при чтении метаданных CD-диска с сервера CDDB. Информация о треках записывается в специальный хэш-файл, но перед этим передается в функцию sprinft(). Естественно, что никаких дополнительных проверок на «чистоту» данных не производится. Если подумать, то можно предугадать действия злоумышленника: хакер может поднять собственный CDDB-сервер и заставить жертву обратиться к нему. Либо с помощью современных технологий перехватить информацию о треках и слегка изменить ее.

Эксплойт полностью написан на Perl и представляет собой фейковый сервис CDDB. Однако публичный вариант сплойта просто убивает xine, а не выполняет произвольный код.

Защита:

В последнем релизе xine (1.0.3a) уязвимость была исправлена. Можешь смело обновлять плеер с официального сайта http://xinehq.de.

Ссылки:

Сливаем сплойт по ссылке www.securitylab.ru/poc/extra/241081.php. За подробностями можно обратиться к специальному объявлению на www.securitylab.ru/vulnerability/source/241076.php.

Злоключение:

Данная уязвимость может проявлять себя не только при проигрывании CD-файлов. Существует специальный потоковый формат Audio CD MRL (media resource locator), который можно прослушивать через Интернет. Естественно, что за информацией о треке xine обращается к CDDB.

Greets:

Автором эксплойта является человек с именем Ulf Harnhammar. Он входит в хакерскую группу Securiteam (support@securiteam.ru).

[RealPlayer format string exploit]

Описание:

Еще одна уязвимость форматной строки была найдена сразу в двух Real-плеерах под Linux — RealPlayer и Helix. Ошибка вызывается при проигрывании подложного файла с расширением *.rp. С первого взгляда эксплойт не представляет особой ценности: это чисто локальное средство нападения, создающее rp-файл и запускающее RealPlayer с последующим открытием шелла на порту 4444. Но с другой стороны, данный файлик можно опубликовать в глобальной сети и раскидывать ссылки начинающим юниксоидам :).

Чтобы было понятно, привожу структуру подложного rp-файла, провоцирующего данный баг:

<imfl>

<head

title="iDEFENSE Labs RealPix Vulnerability"

timeformat="%n%n%n%n%n%n"/>

</imfl>.

Уязвимыми считаются следующие продукты: RealPlayer 10.0.4.750, а также Helix Player 1.0.6.

Защита:

Защититься от бреши можно простым апдейтом версии плееров (http://real.com или http://helixcommunity.org). Также помни про опасность при открытии неизвестных ссылок в Интернете. Особенно, если тебе предлагают послушать произведение неизвестного исполнителя :).

Ссылки:

Эксплойт можно взять отсюда: www.security.nnov.ru/files/helix4real.c. Подробнейший мануал по его использованию, а также детали уязвимости можно найти на этой странице — http://security.nnov.ru/Jdocument809.html.

Ошибка в RealPlayer’е может привести к весьма плачевным последствиям. Как не крути, а в нашем мире полно пользователей, кликающих на все подряд. Поэтому хакеру достаточно разместить подложный файл в Интернете и заставить какого-нибудь юниксоида послушать музыку.

Greets:

Информацию об уязвимости сообщил некий c0ntex (c0ntexb@gmail.com). Затем всем известная группа Securiteam подхватила эту идею, и ее участники написали сокрушительный эксплойт.

[Qpopper poppassd local r00t exploit]

Описание:

Если ты линухоид, то наверняка слышал (или даже юзал) pop3-демон с прекрасным названием Qpopper. Спешу тебя огорчить, что в одном из его компонентов была найдена уязвимость. Суть ее в том, что с помощью суидного файла poppassd, служащего для смены пользовательского пароля, может создать любой локальный файл. Таким образом, в эксплойте создается системный файл /etc/libmap.conf (для FreeBSD) и /etc/ld.so.preload (для Linux), в который затем записывается фейковая библиотека. В этой либе происходит создание локального рутового шелла /tmp/suid. Теперь разберемся как работает эксплойт: сперва создается файл, затем в него заносится ссылка на подложный модуль. После этого запускается /bin/su, провоцирующий выполнение модуля. Если все действия увенчались успехом, то в каталоге /tmp появится суидный файл suid. Это и будет заветный рутшелл :).

Эксплойт, написанный на bash, поставляется в двух вариантах — для Linux и для FreeBSD.

Защита:

Как утверждает автор эксплойта, уязвимыми являются все версии Qpopper до 4.0.8 включительно. Разработчики продукта пока не шевелятся и не выпускают патчи, поэтому защиты от бага пока не существует.

Ссылки:

Эксплойт можно получить по ссылке www.security.nnov.ru/files/poppassd-lnx.sh (Linux) или www.security.nnov.ru/files/poppassd-freebsd.sh (FreeBSD).

Злоключение:

Qpopper — это продукт, который издавна славился своими багами. Не так давно была найдена брешь в том же модуле poppassd, позволяющая сменить пароль любому пользователю. Поэтому мой совет — отказаться от этого сомнительного продукта :).

Greets:

Об уязвимости сообщил некто kc0pe. Первый источник, который об этом узнал, именуется как full-disclosure (full-disclosure@lists.netsys.com).

[MS Windows NCM local DoS (MS05-045)]

Описание:

В этом месяце как обычно отличились продукты MicroSoft. На этот раз багоискатели нашли брешь в сервисе Network Connection Manager. Если верить их словам, то служба может быть временно остановлена при приеме некорректного TCP-пакета. Примечательно, но при воздействии эксплойта прерываются все активные подключения. Однако при восстановлении соединения менеджер оживает и продолжает нормально функционировать.

Эксплойт корректно работает с системами Win2000 (SP1-4), WinXP (SP1, SP2) и Win2003 (SP1). В системах WinXP+SP2 и Win2003+SP1 баг может эксплуатировать только локальный и авторизованный пользователь. На более старых операционках, брешь можно вызвать удаленно. Однако первый публичный релиз эксплойта ориентирован только для локального нападения.

Защититься можно с помощью специальных патчей, заботливо выложенных Microsoft. Список заплаток можно найти на странице www.securitylab.ru/vulnerability/240996.php.

Ссылки:

Эксплоит находится здесь: www.securitylab.ru/poc/extra/241127.php и доступен для скачивания. Описание уязвимости можно найти на ссылке www.securitylab.ru/notification/240988.php.

Злоключение:

Степень опасности данной ошибки не велика — пока что это простой DoS. Однако в некоторых случаях обрыв текущих соединений может привести к нехорошим последствиям. Поэтому обязательно установи спасительный патч в твою операционку, а также закрой порты 135-139, 445 на твоем файрволе, если еще этого не сделал.