qmail távoli biztonsági rés 1.03-ban (egész túlcsordulás a qmail-smtpd.c-ben)

Bug

Georgi Guninski távolról kihasználható biztonsági rést talált a qmail v1.03-ban. Exploit van hozzá. Patch is letölthető. Ajánlott a miharabbi frissítés annak, aki qmail-t használ. Bővebb infó itt:

http://archives.listbox.com/spf-discuss@v2.listbox.com/200401/0607.html

Az exploit-ról ill. a problémáról bővebben Guninski saját oldalán:

http://www.guninski.com/qmailcrash.htmlAz spf-discuss bejelentése így szól:

"Georgi Guninski ma (2004. Január 15.) egész-túlcsordulási hibára utaló bizonyítást tett közzé a qmail-smtpd programban amely rendszerhalálhoz vezet (és a gdb szerint memóriaterület átírásához).

Az üzenethez csatoltam a qmail-smtpd.c v1.03-at javító foltot. A túlcsordulás alapvetően egy ellenőrizetlen egész értékből áll, amely bizonyos körülmények között megengedi a saját 32-bites határértékének túllépését, amely az annak eredményeképpen negatívvá válik s ezáltal segfault-ot okoz.

James Craig Burley foltja is csatolva van ehhez a levélhez, és a libspf.org-ról is letölthető. Teszteltem a javítást a közzétett exploit-tal és stabilan működik.

http://libspf.org/files/qmail-1.03.integer.overflow.patch

Üdv,

James

--

James Couzens,

Programmer

obscurity.org

libspf.org"

( spymorass v | 2004. 01. 20., k – 09:59 )

Akkor most Guninski megkapja azt az 500 dollárt, amit Bernstain 1997 márciusában ajánlt fel annak, aki az első biztonsági hibát találja meg a qmailben?

http://cr.yp.to/ [cr.yp.to]

( qm | 2004. 01. 20., k – 10:40 )

Elnezest mindenkitol a trivialis nyelvtani bakiktol, sietve irtam. A mondanivalo ertelmen nem valtoztat. Bakik:

"...egész-túlcsordulási hibát bizonyítást tett közzé..."

Helyesen:"...egész-túlcsordulási hibára utaló bizonyítást tett közzé..."

"...amelynek az annak eredményeképpen negatívvá válik..."

Helyesen: "...amely az annak eredményeképpen negatívvá válik...

( handler | 2004. 01. 20., k – 12:16 )

A script szolidan attur 2G-t a halozaton... ADSL-rol es modemrol nem sokan fognak tamadni:D

Hat, ennyiert meg nem.

Az 500$ olyan exploit-ert jar, ami egy user accountot kompromittal, nem DOS attackert. Amit kozzetett, csak DOS attack.

A megadott kod nem teljesiti a felteteleket, csak elszallitja a qmail-t. A databytes file tartalmanal tobbet pedig a qmail nem ir a lemezre, tehat winyotultoltesre se alkalmas.

( Finrod | 2004. 01. 20., k – 19:16 )

Amugy letesztelte valaki, hogy tenyleg csinal-e valamit az exploit?

1. A qmail-smtpd-t a tcpserver inditja. A tcpserver-t leallitja az exploit? Ha nem, akkor nem DOS.

2. A qmail listan az a velemeny, miszerint a databytes ertekenel tobbet nem ir az output streambe (en is megneztem, tenyleg van benne ilyen kod, ha elobb hal el, mint hogy negativ erteknel a databytes ertekehez hasonlitana, akkor tenyleg nem ir felette semmit). A legdurvabb effekt ez alapjan, hogy a kiirt file felbemarad.

3. A queue felepitesebol adodoan az csak teljesen kiirt uzenetekkel foglalkozik. Ergo a qmail-send-ben hibas mukodest szerintem nem okoz az a felbemaradt file.

Amennyiben tehat csak siman elhal a qmail-smtpd es nem rantja magaval a tcpserver-t, akkor a legnagyobb kar amit ez az exploit okozhat, hogy tolti a winyot tamadasonkent a databytes ertekevel megegyezo meretu fileokkal.

Amennyiben kod futtatasara is alkalmas az exploit, akkor mar veszelyesebb is lehet a helyzet.