Обзор эксплоитов

Докучаев Дмитрий aka Forb

Xakep, номер #059, стр. 059-060-1

(forb@real.xakep.ru)

mIRC <= 6.11 remote buffer overflow exploit

Описание:

Самым безопасным IRC-клиентом всегда считался mIRC. В нем редко обнаруживали какие-нибудь серьезные ошибки. Так продолжалось до 11 октября. В этот день была обнаружена уязвимость в DCC-передаче файлов. Элементарное переполнение буфера приводило к падению клиента. Любителю погадить всего лишь надо было послать одну команду: PRIVMSG NICK :(1)DCC SEND "x x x x x x x x x x x x x x x x x x x x x x x x x x" 0, после чего удаленный клиент успешно завершал свою работу. Такой вот булыжник в огород mIRC.

Защита:

От этой баги существует три способа защиты:

1. Обновить IRC-клиент до свежей версии 6.12. Лежит он по адресу www.mirc.com/get.html.

2. Выполнить команду /ignore –wd *. Этим ты добьешься игнорирования всех входящих DCC-запросов.

3. Группа энтузиастов выпустила скрипт для mIRC, позволяющий обходить подобное переполнение. Его ты можешь взять по ссылке www.erler.org/Olathe/exploit%20fix.mrc.

Ссылки:

Эксплоит берется с kamensk.net.ru/forb/1/x/mirc-dos.pl.tar.gz. Почитать же о баге можно здесь: www.irchelp.org/irchelp/mirc/exploit.html.

Злоключение:

Благодаря тому, что mIRC полюбился огромному количеству народа, а апгрейд делать лень, бага будет актуальна еще долгое время. Скрипткидисы опять почувствуют бурное возбуждение в предвкушении новых сексуальных жертв.

Greets:

А, собственно, некому даже спасибо сказать. Багоискатель решил остаться в тени. Можешь только послать свои респекты автору этого обзора :).

ProFTPD 1.2.7 - 1.2.9rc2 remote r00t exploit

Описание:

Группа девелоперов обнаружила ошибку в ProFTPD во время заливки файлов, связанную с символом n. В этот же день был зарелизен эксплоит. Правда, на паблик тогда выложили версию без возможности брутфорса необходимых адресов в стеке. И только 17 октября, наконец, вышла полная версия, включающая этот брутфорс адресов. Как говорят сами авторы эксплоита, уязвимость актуальна для всех RedHat и SuSe, хотя лично я тестировал сплоит только на RedHat 8.0.

Защита:

Поставь версию 1.2.9rc3. Если в лом делать апдейт, то просто позаботься о своей политике безопасности – эксплуатировать уязвимость могут только те пользователи, которые способны заливать файлы.

Ссылки:

Рабочий эксплоит сливаем отсюда: www.security.nnov.ru/files/proft_put_down.c. Ссылка на Bugtraq: www.security.nnov.ru/search/document.asp?docid=5146.

Злоключение:

Сейчас найти анонимный доступ с поддержкой заливки файлов затруднительно. Поэтому эксплоит можно считать локальным – для его юзания тебе необходим аккаунт на FTP-сервере.

Greets:

Все свои письма радости отсылаем некоему Haggis (автор эксплоита). Именно он, проанализировав багу, написал рабочий сырец.

RPC DCOM universal exploit

Описание:

11 октября вышел долгожданный RPC-эксплоит под NT-платформы, состоящий из исходника (либо портированной виндовой версии), а также файла с бинарным шеллкодом (он выполняется после эксплуатации уязвимости). Шеллкоды сейчас народ уже не стесняется выкладывать, поэтому проблем с применением эксплоита у тебя не возникнет.

Содержание  Вперед на стр. 059-060-2
ttfb: 3.19504737854 ms