← Вернуться в раздел «В помощь системному администратору»

» BugTraq для сисадминов: уязвимости/исправления

Автор: ooptimum
Дата сообщения: 15.04.2003 20:42

Вот сейчас полез на SecurityFocus и... попал на страницу торговцев доменами.

Что с ними случилось-то? Или я один торможу, а все вокруг давно в курсе? Народ, а кто как уязвимости отслеживает вообще? И главное -- где?

Может наиболее инторесное сюда будем постить?

BugTraq для сисадминов

Эта тема будет посвящена обнаруженным уязвимостях и исправлениях к ним, важным для системных администраторов.

Разрешается постить только конкретные факты (при необходимости - со ссылками), посвященные теме топика. Обсуждения не разрешены, если они не содержат новых фактов. Обсуждать можно, например, в Андеграунде.

Полезные ссылке по теме:

Андеграунд » Вирусный bugtraq на ru-board
Андеграунд » bugtraq
Андеграунд » Новости сетевой безопасности
Операционные системы » Bugtraq по операционным системам

http://security.nnov.ru/?l=RU информация о уязвимостях
http://www.bugtraq.ru/
http://www.securitylab.ru/25175.html
http://www.opennet.ru/security/
http://www.uinc.ru/news/index.shtml
http://www.cert.org (англ.)
http://www.eeye.com (англ.)
http://www.secunia.com (англ.)
Microsoft HotFix & Security Bulletin Service - О всех багах присылают на мыло
http://www.packetstormsecurity.org/ (англ.)
http://www.secure.com.ru/ - информационная безопасность сетей и серверов

О конкретных уязвимостях:
*nix
- Удаленное переполнение буфера в OpenSSH 3.7
- Уязвимость в PAM OpenSSH и выход новой версии OpenSSH 3.7.1p2, в которой исправлен код отвечающий за работу PAM
- Уязвимость в ProFTPD и исправления к ней
- Атака на FreeBSD с помощью ARP флуда и защита от нее
- Новая версия BIND 8 исправляющая уязвимость - "Отказ в обслуживании через отравление DNS кэша"
- Переполнение буфера в утилите fetch (FreeBSD)
- Раскрытие частей памяти ядра FreeBSD через procfs и linprocfs.
- Множественные уязвимости в PHP4 <= 4.3.9, PHP5 <= 5.0.2

ms windows
- Все об уязвимости в RPC DCOM
- KB832880: первый критикал апдейт для ms small business server 2003
- Эпидемия вируса W32.Novarg Мне целых 3 э-майла с вирусом (W32.Novarg)
- Заразился вирусом Win32.HLLM.MyDoom (в сети)
- Как убить вирус Dialer.Tibs ?
- Постоянные запросы на prizmapr.ru (червь Bagle.AC)

Автор: EndoR
Дата сообщения: 15.04.2003 20:43

www.cert.org

Добавлено
секуритифокус тоже ниче...

Автор: ooptimum
Дата сообщения: 15.04.2003 20:58

EndoR

Цитата:

секуритифокус тоже ниче...

Был... Прочти мое первое сообщение, что ли.

Добавлено
Блин, я securefocus (!) набирал...

Но темка полезная -- пусть живет теперь.
EndoR, не бери в голову...

Автор: mymuss
Дата сообщения: 15.04.2003 22:21

Из национального:
http://security.nnov.ru/

Еще пожалуй:
http://www.bugtraq.ru/
http://www.uinc.ru/

Автор: snop
Дата сообщения: 15.04.2003 22:34

Microsoft HotFix & Security Bulletin Service
О всех багах присылают на мыло

Автор: Crash Master
Дата сообщения: 16.04.2003 00:17

ooptimum
Топик не совсем по теме раздела.
С такими вещами в андерграунд.
Вирусный bugtraq на ru-board
Bugtraq на мыло. Где подписаться?
bugtraq
Новости сетевой безопасности

Автор: Zmey
Дата сообщения: 19.09.2003 06:28

Удаленное переполнение буфера в OpenSSH #2

Программа: OpenSSH 3.7

Опасность: Критическая

Наличие эксплоита: Нет

Описание: Удаленное переполнение буфера обнаружено в OpenSSH. На этот раз, в отличие от предыдущего исправления, устраненная уязвимость позволяет выполнить произвольный код на уязвимом сервере.

OpenSSH опубликовало информацию об уязвимости в OpenSSH, которая позволяла удаленному пользователю выполнить DoS нападение против SSH сервера. Однако изначально говорилось о существовании уязвимости, которая могла использоваться для выполнения произвольного кода на уязвимом сервере. После детального изучения проблемы, была обнаружена еще одна, более опасная уязвимость в OpenSSH, которая возможно позволяет удаленному пользователю выполнить произвольный код с root привилегиями.

Пример/Эксплоит: Нет

URL производителя: http://www.openssh.com/

Решение:

Обновите до OpenSSH 3.7.1 или примените следующий патч:
Appendix A: patch for OpenSSH 3.6.1 and earlier

Index: buffer.c
===================================================================
RCS file: /cvs/src/usr.bin/ssh/buffer.c,v
retrieving revision 1.16
retrieving revision 1.18
diff -u -r1.16 -r1.18
--- buffer.c 26 Jun 2002 08:54:18 -0000 1.16
+++ buffer.c 16 Sep 2003 21:02:39 -0000 1.18
@@ -23,8 +23,11 @@
void
buffer_init(Buffer *buffer)
{
- buffer->alloc = 4096;
- buffer->buf = xmalloc(buffer->alloc);
+ const u_int len = 4096;
+
+ buffer->alloc = 0;
+ buffer->buf = xmalloc(len);
+ buffer->alloc = len;
buffer->offset = 0;
buffer->end = 0;
}
@@ -34,8 +37,10 @@
void
buffer_free(Buffer *buffer)
{
- memset(buffer->buf, 0, buffer->alloc);
- xfree(buffer->buf);
+ if (buffer->alloc > 0) {
+ memset(buffer->buf, 0, buffer->alloc);
+ xfree(buffer->buf);
+ }
}

/*
@@ -69,6 +74,7 @@
void *
buffer_append_space(Buffer *buffer, u_int len)
{
+ u_int newlen;
void *p;

if (len > 0x100000)
@@ -98,11 +104,13 @@
goto restart;
}
/* Increase the size of the buffer and retry. */
- buffer->alloc += len + 32768;
- if (buffer->alloc > 0xa00000)
+
+ newlen = buffer->alloc + len + 32768;
+ if (newlen > 0xa00000)
fatal("buffer_append_space: alloc %u not supported",
- buffer->alloc);
- buffer->buf = xrealloc(buffer->buf, buffer->alloc);
+ newlen);
+ buffer->buf = xrealloc(buffer->buf, newlen);
+ buffer->alloc = newlen;
goto restart;
/* NOTREACHED */
}
Index: channels.c
===================================================================
RCS file: /cvs/src/usr.bin/ssh/channels.c,v
retrieving revision 1.194
retrieving revision 1.195
diff -u -r1.194 -r1.195
--- channels.c 29 Aug 2003 10:04:36 -0000 1.194
+++ channels.c 16 Sep 2003 21:02:40 -0000 1.195
@@ -228,12 +228,13 @@
if (found == -1) {
/* There are no free slots. Take last+1 slot and expand the array. */
found = channels_alloc;
- channels_alloc += 10;
if (channels_alloc > 10000)
fatal("channel_new: internal error: channels_alloc %d "
"too big.", channels_alloc);
+ channels = xrealloc(channels,
+ (channels_alloc + 10) * sizeof(Channel *));
+ channels_alloc += 10;
debug2("channel: expanding %d", channels_alloc);
- channels = xrealloc(channels, channels_alloc * sizeof(Channel *));
for (i = found; i < channels_alloc; i++)
channels[i] = NULL;
}

===================================================================
Appendix B: patch for OpenSSH 3.7

Index: buffer.c
===================================================================
RCS file: /cvs/src/usr.bin/ssh/buffer.c,v
retrieving revision 1.17
retrieving revision 1.18
diff -u -r1.17 -r1.18
--- buffer.c 16 Sep 2003 03:03:47 -0000 1.17
+++ buffer.c 16 Sep 2003 21:02:39 -0000 1.18
@@ -23,8 +23,11 @@
void
buffer_init(Buffer *buffer)
{
- buffer->alloc = 4096;
- buffer->buf = xmalloc(buffer->alloc);
+ const u_int len = 4096;
+
+ buffer->alloc = 0;
+ buffer->buf = xmalloc(len);
+ buffer->alloc = len;
buffer->offset = 0;
buffer->end = 0;
}
@@ -34,8 +37,10 @@
void
buffer_free(Buffer *buffer)
{
- memset(buffer->buf, 0, buffer->alloc);
- xfree(buffer->buf);
+ if (buffer->alloc > 0) {
+ memset(buffer->buf, 0, buffer->alloc);
+ xfree(buffer->buf);
+ }
}

/*
Index: channels.c
===================================================================
RCS file: /cvs/src/usr.bin/ssh/channels.c,v
retrieving revision 1.194
retrieving revision 1.195
diff -u -r1.194 -r1.195
--- channels.c 29 Aug 2003 10:04:36 -0000 1.194
+++ channels.c 16 Sep 2003 21:02:40 -0000 1.195
@@ -228,12 +228,13 @@
if (found == -1) {
/* There are no free slots. Take last+1 slot and expand the array. */
found = channels_alloc;
- channels_alloc += 10;
if (channels_alloc > 10000)
fatal("channel_new: internal error: channels_alloc %d "
"too big.", channels_alloc);
+ channels = xrealloc(channels,
+ (channels_alloc + 10) * sizeof(Channel *));
+ channels_alloc += 10;
debug2("channel: expanding %d", channels_alloc);
- channels = xrealloc(channels, channels_alloc * sizeof(Channel *));
for (i = found; i < channels_alloc; i++)
channels[i] = NULL;
}

Источник: www.securitylab.ru
Ссылки по теме:
http://www.openssh.com/txt/buffer.adv
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:12.openssh.asc

Автор: Zmey
Дата сообщения: 23.09.2003 17:24

----- Forwarded message from Michael Sierchio <kudzu@tenebras.com> -----

Date: Tue, 23 Sep 2003 07:48:45 -0700
From: Michael Sierchio <kudzu@tenebras.com>
To: security@freebsd.org
Subject: OpenSSH: multiple vulnerabilities in the new PAM code
User-Agent: Mozilla/5.0 (X11; U; Linux i386; en-US; rv:1.4) Gecko/20030624

This affects only 3.7p1 and 3.7.1p1. The advice to leave
PAM disabled is far from heartening, nor is the semi-lame
blaming the PAM spec for implementation bugs.

I happen to like OPIE for remote access.

Subject: Portable OpenSSH Security Advisory: sshpam.adv

This document can be found at: http://www.openssh.com/txt/sshpam.adv

1. Versions affected:

Portable OpenSSH versions 3.7p1 and 3.7.1p1 contain multiple
vulnerabilities in the new PAM code. At least one of these bugs
is remotely exploitable (under a non-standard configuration,
with privsep disabled).

The OpenBSD releases of OpenSSH do not contain this code and
are not vulnerable. Older versions of portable OpenSSH are not
vulnerable.

2. Solution:

Upgrade to Portable OpenSSH 3.7.1p2 or disable PAM
support ("UsePam no" in sshd_config).

Due to complexity, inconsistencies in the specification and
differences between vendors' PAM implementations we recommend
that PAM be left disabled in sshd_config unless there is a need
for its use. Sites only using public key or simple password
authentication usually have little need to enable PAM

_______________________________________________
freebsd-security@freebsd.org mailing list
http://lists.freebsd.org/mailman/listinfo/freebsd-security
To unsubscribe, send any mail to "freebsd-security-unsubscribe@freebsd.org"

----- End forwarded message -----

Краткий перевод

Новая уязвимость в OpenSSH

Данная уязвимость распространяется только на версии 3.7p1 и 3.7.1p1

1. Версии которые уязвимы

Портированные OpenSSH версии 3.7р1 и 3.7.1р1 содержат
многочисленные уязвимости в новом PAM коде. Как минимум
одна из этих уязвимостей может быть эксплуатирована удаленно.

OpenBSD версия OpenSSH не содержит этого кода и не является уязвимой
версии ниже 3.7р1 и 3.7.1р1 также не содержат данной уязвимости.

2. Решение

Апгрейд до версии OpenSSH 3.7.1p2 или отключение PAM
("UsePam no" в sshd_config)

Добавлено
Вышла новая версия OpenSSH 3.7.1p2 в которой исправлен код отвечающий за работу PAM.
Скачать можно с зеркал OpenSSH.

Автор: Zmey
Дата сообщения: 24.09.2003 12:15

Компанией Internet Security Systems была найдена уязвимость в одном из самых популярных FTP серверов, ProFTPD.

Проблеме подвержены версии:

ProFTPD 1.2.7
ProFTPD 1.2.8
ProFTPD 1.2.8rc1
ProFTPD 1.2.8rc2
ProFTPD 1.2.9rc1
ProFTPD 1.2.9rc2

Атакующий, с привелегиями закачивания файла на сервер, использующий уязвимую версию ProFTPD, может вызвать переполнение буфера и выполнить произвольный код для получения контроля над системой. Атакующий может использовать данную уязвимость для уничтожения, кражи или манипулирования информацией на уязвимых FTP серверах.

Рекомендации:

Для идентификации уязвимых систем Internet Security
Systems предлагает использовать:
Internet Scanner XPU 7.6/6.35 ProftpdAsciiXferNewlineBo -
(http://xforce.iss.net/xforce/xfdb/12200)

Для защиты сервера:
Эксплуатирование данной уязвимости не возможно в случае если атакующий не имеет доступа на закачку файлов на сервер. Если это возможно, рекомендуется отключить возможность закачки файлов на сервер используя права доступа к файлам или используя параметр конфигурации ProFTPD сервера:

<Limit WRITE>
DenyAll
</Limit>

X-Force рекомендует пользователям ProFTPD обновить сервер до исправленной версии когда она будет доступна.

Дополнительная информация:
The ProFTPD Project
http://www.proftpd.org

Полная версия текста на английском языке:
http://xforce.iss.net/xforce/alerts/id/154

Credit:
Эта уязвимость была обнаружена Mark Dowd из ISS X-Force.

Добавлено 25.09.2003
В портах FreeBSD уже доступна исправленная версия Proftpd. Рекомендую обновить дерево портов через cvsup и пересобрать ProFTPD для устранения вышеописанной уязвимости.

Автор: Zmey
Дата сообщения: 25.09.2003 06:06

Атака на FreeBSD с помощью ARP флуда.

При получении ARP-запроса система сохраняет ARP-запись в своем кэше, удаляя ее через некоторое время.
В случае получения большого числа поддельных запросов в течение короткого промежутка времени, становится возможным истощение системных ресурсов, приводящее к system panic.
Необходимое условие атаки - физический доступ к атакуемому сегменту непосредственный или через ARP-прокси). Особенно уязвимы беспроводные сети, доступ к которым на этом уровне тривиален.

Предлагается обновить систему до версии FreeBSD 4.8p8 или установить патч доступный на сайте FreeBSD.
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:14/arp.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:14/arp.patch.asc

Автор: Zmey
Дата сообщения: 25.09.2003 17:33

!!!!СРОЧНОЕ СООБЩЕНИЕ!!!!

Исправление дырки с ARP-lookup сделали не совсем правильно, при переходе на FreeBSD 4.8p8 возможны проблемы с работой в сети!!!
Рекомендуется обновлять систему до 4.8p10.

Исправление p9 исправляет код OpenSSH который отвечает за работу PAM

p10 - обновленное исправление дырки ARP-lookup.

Все обновления уже доступны на cvsup зеркалах FreeBSD.

Более подробно читайте на сайте http://www.freebsd.org

Автор: SurfKoba
Дата сообщения: 16.10.2003 11:06

03-039 не спасает, ждем-с патчика :
Microsoft Windows RPCSS Multi-thread Race Condition Vulnerability

Автор: Jojobets
Дата сообщения: 07.11.2003 22:29

До фига всего -> http://www.packetstormsecurity.org

Добавлено
До фига всего -> http://www.packetstormsecurity.org

Автор: zonder
Дата сообщения: 08.11.2003 06:43

я для себя открыл уязвимость серийников ОС Windows

Цитата:

The Magical Jelly Bean Keyfinder is a freeware utility that retrieves your Product Key (cd key) used to install windows from your registry. It has the options to copy the key to clipboard, save it to a text file, or print it for safekeeping. It works on Windows 95, 98, ME, NT4, 2000, XP, Server 2003, Office 97, and Office XP.

Мелкософт молчит. Как можно было допустить, что обычный юзер в сети может вытягивать из реестра серваков серийники? (после этого трудно выполнить их лицензионное соглашение)
Т.ч. товарищи админы не оставляйте дефолтовые настройки после установки винды - лезим настраивать ремоутрегистри и все остальное.

Автор: Zmey
Дата сообщения: 01.12.2003 09:16

Отказ в обслуживании через отравление DNS кэша в BIND 8

Программа: BIND 8.4.2 и более ранняя версия
Опасность: Низкая
Наличие эксплоита: Да

Описание: ISC выпустил новую версию BIND 8, которая устраняет уязвимость, позволяющую злонамеренному пользователю отравить DNS кеш.

Удаленный пользователь может выполнить отравление DNS кэша, заставляя целевой сервер сохранить неверные ответы. В результате DNS сервер будет возвращать неправильно закэшированные данные для целевого домена, пока не истечет время жизни данных в кэше.

URL производителя: http://isc.org/products/BIND/

Решение:
Установите обновленную версию программы(8.4.3):
ftp://ftp.isc.org/isc/bind/src/8.4.3

Или наложите патчи на вашу систему:

[FreeBSD 4.9 and -STABLE systems]
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-836.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-836.patch.asc

[FreeBSD 4.8 and 5.1 systems]
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-834.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-834.patch.asc

[FreeBSD 4.4, 4.5, 4.6, 4.7, and 5.0 systems]
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-833.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-833.patch.asc

Выполните команды от пользователя root:
# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/lib/libbind
# make obj && make depend && make
# cd /usr/src/lib/libisc
# make obj && make depend && make
# cd /usr/src/usr.sbin/named
# make obj && make depend && make && make install
# cd /usr/src/libexec/named-xfer
# make obj && make depend && make && make install

После обновления или наложения патча на вашу систему, вы должны перезагрузить named. Выполните команды от пользователя root:
# ndc restart

Дополнительные ссылки:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:19.bind.asc
Источник: www.securitylab.ru

Автор: dg
Дата сообщения: 19.12.2003 00:51

появился первый критикал для вышедшего меньше месяца назад ms small business server 2003.

сама трабла описана в статье [KB832880]. заплатка для английской версии sbs: Quick Info

Автор: pokhlebaev
Дата сообщения: 22.01.2004 10:21

Microsoft Office 2003
Обновление Office 2003: KB828041
Это обновление содержит исправление, устраняющее неправильную работу Microsoft Word 2003, Microsoft Excel 2003 и Microsoft PowerPoint 2003 при открытии файла, который был исправлен и сохранен в Office 2000. При использовании указанного сценария во время сохранения могут быть случайно потеряны графические данные. Обновление Office 2003 KB828041 является результатом прилагаемых корпорацией Майкрософт усилий по предоставлению заказчикам новейших обновлений продуктов.
русское - http://download.microsoft.com/download/9/3/4/934bb6c0-d53a-4a9e-b529-7116814b2472/Office2003-kb828041-client-RUS.exe
английское - http://download.microsoft.com/download/e/1/9/e19746da-c20c-43ff-b824-90a55b5386ad/Office2003-kb828041-client-enu.exe
Обновление фильтра спама для приложения Outlook 2003: KB832333
Обновление расширяет возможности фильтра "макулатурных" сообщений для программы Outlook с целью усиления защиты от спама. Пользователям Outlook будут предоставляться периодические обновления, разработка которых является частью постоянных усилий корпорации Майкрософт по борьбе с несанкционированными рассылками электронной почты. Предлагаемое обновление носит необязательный характер и содержит новые описания макулатурных и содержательных сообщений.
Могу по опыту заявить, что данное обновление существенно улучшает фильтрацию спама
русское - http://download.microsoft.com/download/a/e/8/ae876fdc-61e0-4d5a-8e6b-697235f6af08/office2003-kb832333-client-rus.exe
английское - http://download.microsoft.com/download/a/d/d/addc1a61-68be-45a1-a780-8b4d668bdc09/office2003-kb832333-client-enu.exe

Автор: lynx
Дата сообщения: 27.01.2004 22:32

Эпидемия вируса W32.Novarg.

Цитата:

"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA. Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).

Подробнее в теме:

Мне целых 3 э-майла с вирусом (W32.Novarg)

Автор: Svarga
Дата сообщения: 03.03.2004 14:01

Цитата:

3 марта 2004

Обход ограничений доступа в Squid Proxy Cache сервере

Программа: Squid-2.x up до версии 2.5.STABLE4
Опасность: Низкая
Наличие эксплоита: Да
Описание: Уязвимость обнаружена в Squid Proxy Cache сервере в обработке URL, содержащих '%00'. Удаленный пользователь может обойти некоторые ограничения доступа.
Уязвимость в функции '%xx' URL декодирования позволяет удаленному пользователю обойти ограничения доступа, основанные на 'url_regex' access control list (ACL). Например, URL типа 'http://foo%00@www.example.com/' не будет обнаружен, если используется следующий вид ACL:
acl BadSite url_regex www\.example\.com
http_access deny BadSite

URL производителя: http://www.squid-cache.org/Advisories/SQUID-2004_1.txt
Решение: Установите последнюю версию программы: ftp://ftp.squid-cache.org/pub/squid-2/STABLE/

Автор: proed
Дата сообщения: 10.03.2004 22:48

Биллинговая система UTM от фирмы NetUp

Цитата:

Множественные уязвимости в NetUP
Программа: NetUP
Опасность: Критическая
Наличие эксплоита: Да

Описание: Несколько уязвимостей обнаружено в NetUP. Злонамеренный пользователь может получить доступ к системе и манипулировать учетной записью пользователя.

1. Сценарии "admin" and "utm_stat” не проверяют "sid" параметр. В результате злонамеренный пользователь может внедриться в сессию другого пользователя через SQL инъекцию:
https://[server]/cgi-bin/utm/admin?cmd=full_view&sid=q%22%20OR%201=1%20OR%20%22q%22=%22q
https://[server]/cgi-bin/utm/utm_stat?cmd=user_report&sid=q%22%20OR%201=1%20OR%20%22q%22=%22q

2. Удаленный пользователь может изменять данные других пользователей, используя уязвимость SQL инъекции в '/cgi-bin/utm/user_stat' script сценарии:
https://[server]/cgi-bin/utm/utm_stat?cmd=change_lang?=ru%22,%20bill=10000,%20lang=%22ru&sid=sessionid
Также сообщается, что множество других сценариев уязвимы к SQL инъекции.

URL производителя: http://www.netup.biz/

Решение: Ограничьте доступ к приложению только доверенным пользователям. Используйте альтернативное программное обеспечение.

Цитата:

Multiple Security Issues in Netup UTM

Name : Multiple Security Issues in Netup UTM
Software Package : Netup UserTraffManager
Vendor Homepage : http://www.netup.biz, http://www.netup.ru
Vulnerable Versions: 3.0, 4.0
Platforms : Linux, FreeBSD
Vulnerability Type : SQL injections, remote shell command execution

Introduction
-------
As it is postulated on vendor's website www.netup.biz: "NetUP UserTraffManager
is a universal ISP billing system for Internet Service Providers of any size,
from small offices to global companies".

Actually, UTM is a traffic accounting suite, which consist of
1) scripts for collecting traffic statistics from different devices, and
storing them in MySQL database.
2) web interface for administrators and end-users.

-------
Issue 1: Session hijacking using SQL injection

Web interface of UTM consist of 3 executables: aaa, admin and utm_stat. aaa
handles authentication of user or administrator, and generates unique session
id. After that admin or utm_stat identifies user by session id, which is
passed as a parameter sid in HTTP GET string.
It appears that session data is stored in MySQL, and sid parameter is checked
with simple SELECT, and special characters in parameter sid are not escaped,
so sessions can be easily hijacked with queries altering where-clause,
for example sid='q" OR 1=1 OR "q"="q'. This will give an access to first
currently open session. The resulting query will be:

https://somehost/cgi-bin/utm/admin?cmd=full_view&sid=q%22%20OR%201=1%20OR%20%22q%22=%22q
https://somehost/cgi-bin/utm/utm_stat?cmd=user_report&sid=q%22%20OR%201=1%20OR%20%22q%22=%22q

The attacker can switch between sessions altering the SQL query, for example:
sid=q" OR 1=1 AND uid!=10 OR "q"="q
Once the attacker has found needed session he can stick to it, adding uid=X
(where X is users ID) to the query.

If no sessions are currently active a message "Access denied" is displayed,
however nothing is written to UTM_logs table.

Once the administrator's session is hijacked, attacker can do anything that
this administrator can: alter users' settings, add users, erase logs, steal
UTM registration key and else...

-------
Issue 2: Altering user's parameters using SQL injection

All user's information is stored in a single SQL row. Users can change their
password and language via web interface given by /cgi-bin/utm/user_stat.
Data from HTTP query passes to SQL UPDATE query not escaped. So, using SQL
injection user can alter all his parameters, and amount of money on his
account as well.
Logged in user can alter his information, and in case of session hi-jacking,
attacker can alter session owner's info.
For example, setting lang to 'ru", bill=10000, lang="ru', will put 10000
rubles on user's money bill. And the example query will be:

https://somehost/cgi-bin/utm/utm_stat?cmd=change_lang?=ru%22,%20bill=10000,%20lang=%22ru&sid=XXXXX

(where XXXXX is valid sid, or an SQL injection described in issue 1).

-------

Really all UTM's code suffers from SQL injections. Two most bad where already
described above. So I will skip others, and will go on describing worse bugs.

-------
Issue 3: Executing shell commands

UTM allows its administrators to setup firewall rules. Administrator enters
the parameters for ipchains (in case if Linux) or ipfw (FreeBSD) into
webform, and they are stored in MySQL, and executed with help of sudo. A
malicious administrator can add semicolon and any shell commands to the
firewall rule, and this commands will be executed with uid of httpd process
owner.
However, altering firewall rules is disabled in UTM by default. In this case
an attacker can use more complicated way to execute commands:
The problem is that UTM configuration options from /netup/utm/utm.cfg are
exported to global variables after parsing. This happens on each startup of
aaa, admin or utm_stat. After this, dictionary data for corresponding language
is selected from table dict. This data is also exported to global variables.
Column "variable" becomes variable name, and column "value" its value. So, if
one has access to table dict, he can override configuration options from
/netup/utm/utm.cfg. Overriding option sudo_path allows an attacker to
execute shell commands on server running UTM.
Web interface /cgi-bin/utm/admin allows only to change column value of table
dict. But, further examination shows that admin?cmd=dict_change, is subject
to SQL injection similar to utm_stat?cmd=change_lang, described above.
Passing parameter like

value506='touch /tmp/hacked; /usr/local/bin/sudo", variable="sudo_path'

to admin?cmd=dict_change will rewrite global variable sudo_path, and
'touch /tmp/hacked' will be executed with next call to sudo. The HTTP query
itself is very big, because all rows in table dict are changed with one
query (stupid!), so the query won't be shown here.

-------
Issue 4: Gaining root access

Once an attacker can execute shell commands with uid of httpd process
owner (usually nobody), in most cases he can gain a root shell. The problem
is that in all boxes running UTM sudoers file contains a line:

nobody ALL= NOPASSWD: /bin/mv

So moving from httpd uid to uid 0 is quite easy.

(I don't really know reason for this, but it is even suggested to do it
on vendor's website http://www.netup.ru/?fid=31)

-------
Known workarounds:

1. Change database_login in utm.cfg to non-root value (default root).
2. Remove "nobody ALL= NOPASSWD: /bin/mv" from sudoers.
3. Disallow changing dictionary and adding firewall rules for all
administrators. Set tables actions and dict read-only for
UTM mysql account.
4. Deny access to /cgi-bin/utm from outer networks via .htaccess.
5. Deny access to /cgi-bin/utm/admin.pl from any hosts except of
administrators' ones via .htaccess.
6. Deny POST method in .htaccess. Track access_log for SQL injections.
--
Totus tuus, Glebius.
GLEBIUS-RIPN GLEB-RIPE

Данную проблему лечит обновление от 23 сентября 2003 года, - найти можно через варезник

Автор: lynx
Дата сообщения: 22.03.2004 18:00

Сообщение от Сварги

Цитата:

Выпущен
Apache HTTP Server 2.0.49

Apache Software Foundation и The Apache HTTP Server Project сообщили о выходе новой версии
популярного HTTP сервера Apache.
В основном версия 2.0.49 предназначена для устранения ошибок и уязвимостей, обнаруженных
ранее. В частности, исправлены три серьезные ошибки:
CAN-2004-0174 - устраняется проблема, связанная с зависанием процесса, когда на
прослушиваемый сокет, к которому редко происходят обращения, идет попытка установления
соединения.
CAN-2004-0113 - mod_ssl - устраняется утечка памяти при обработке plain-HTTP-on-SSL-port.
CAN-2003-0020 - эскейпируются случайные данные перед записью в errorlog.
Скачать Apache HTTP Server 2.0.49 можно по адресу http://httpd.apache.org/download.cgi.

Автор: Zmey
Дата сообщения: 30.03.2004 08:27

Уязвимость в FreeBSD.

Команда разработчиков ОС FreeBSD выпустила бюллетень по безопасности FreeBSD-SA-04:06.ipv6, в котором описывается уязвимость в реализации протокола IPv6 в ядре системы. Уязвимость присутствует в функции setsockopt(2), задающей параметры сокета протокола IPv6. Из-за некорректной реализации разбора некоторых опций этой функции позволяет получить доступ к критичным областям памяти, не обладая для этого соответствующими полномочиями.

Так как в FreeBSD реализована т.н. реализация проекта KAME, уязвимость в других ОС отсутствует (скорее всего). Наличие уязвимости позволяет локальному пользователю либо получить доступ к критичным областям памяти, либо вызвать панику ядра. Выпущено обновление. Как вариант предлагается ввести ограничение в параметры ядра: sysctl security.jail.socket_unixiproute_only=1.

Уязвимость обнаружена в FreeBSD 5.2-RELEASE.

Подробности - ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:06.ipv6.asc
Источник - http://uinc.ru/news/index.shtml

Автор: Svarga
Дата сообщения: 15.04.2004 11:12

Цитата:

Remote DoS PoC эксплоит против IIS 5.0 (MS04-11)

Опубликован PoC код, демонстрирующий эксплуатацию уязвимости против IIS 5.0 с SSL (MS04-11). Удаленный атакующий может вызвать отказ в обслуживании.

Цель эксплоита: Windows 2000, IIS 5.0
Воздействие эксплоита: remote DoS
Автор эксплоита David Barroso Berrueta
Описание уязвимости: http://www.securitylab.ru/44490.html
Скачать эксплоит: http://www.securitylab.ru/_Exploits/2004/04/sslbomb.c

Автор: Zmey
Дата сообщения: 22.04.2004 17:24

По поводу уже успевшей нашуметь уязвимости в протоколе TCP/IP:
Уязвимость в большинстве реализаций TCP стека позволяет удаленному атакующему вызвать отказ в обслуживании

Опасность: Критическая

Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в большинстве реализаций TCP стека. Удаленный пользователь может вызвать отказ в обслуживании, используя TCP reset нападение.

UK National Infrastructure Security Co-Ordination Centre (NISCC) сообщает, что несколько реализаций Transmission Control Protocol (TCP) уязвимы к нападению с использованием TCP RST флажка. Удаленный пользователь может преждевременно закончить TCP сеанс, тем самым, вызывая отказ в обслуживании.

Воздействие на приложение, которое использует TCP, зависит от механизмов, встроенных в приложение, которые обрабатывают преждевременное завершение TCP сеанса.

Согласно NISCC, одним из уязвимым приложением является Border Gateway Protocol (BGP), так как он использует постоянный TCP сеанс между парой BGP объектов. Преждевременное завершение TCP сеанса может заставить устройство реконструировать таблицу маршрутизации, что может привести к “колебанию маршрута” ("route flapping"). В случае BGP, уязвимость можно смягчить, используя TCP MD5 сигнатуры и меры антиспуфинга.

Могут быть уязвимы другие приложения, типа Domain Name System (DNS) и (Secure Sockets Layer) приложений, но с меньшей степенью опасности.

Удаленный пользователь может послать TCP пакет с установленным RST (reset) флажком (или SYN флажком) с поддельным IP адресом источника и адресата и TCP портами, чтобы оборвать TCP сессию. Обычно, вероятность подбора правильного “sequence number” равна 1 из 2^32. Однако в действительности, удаленный пользователь может предположить соответствующий “sequence number” с наиболее большей вероятностью, потому что большинство TCP выполнений примут любой “sequence number” в пределах некоторого диапазона, заданного величиной окна. Как сообщается, правильный “sequence number” может быть подобран менее чем за 4 попытки.

На сегодняшний день уязвимы следующие производители:
Cray Inc. UNICOS, UNICOS/mk и UNICOS/mp системы.
Check Point в последних версиях for VPN-1/FireWall-1 (R55 HFA-03)
Internet Initiative Japan, Inc (IIJ)
InterNiche NicheStack и NicheLite
Juniper Networks
Большинство продуктов от CISCO, включая IOS и не IOS устройства.

Решение: Установите соответствующее исправление от производителя уязвимых программ.

Источник: securitylab.ru

Ссылки по теме:
Cisco Security Advisory: аTCP Vulnerabilities in Multiple IOS-Based Cisco Products - на английском языке, даются некоторые советы по уменьшению риска от данной уязвимости на маршрутизаторах Cisco

Cert.org:Technical Cyber Security Alert TA04-111A

Автор: hoochie
Дата сообщения: 03.05.2004 11:56

Microsoft Security Bulletin MS04-011
Security Update for Microsoft Windows (835732)

Issued: April 13, 2004
Updated: April 28, 2004
Version: 1.2
Summary

Who should read this document: Customers who use Microsoft® Windows®
Impact of vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Recommendation: Customers should apply the update immediately.

Обзор
Было обнаружено несколько проблем безопасности, позволяющие злоумышленнику поставить под угрозу безопасность компьютера с системой Windows и получить возможность управления им. Чтобы защитить компьютер, установите это обновление от корпорации Майкрософт. После установки этого компонента может потребоваться перезагрузка компьютера.

update RUS 6.6 MB Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4.
update RUS 2.6 MB Microsoft Windows XP and Microsoft Windows XP Service Pack 1.
update EN 1.9 MB Microsoft Windows Server 2003.
Для остальных версий windows апдейты найдете сами по ссылке.
Эти обновления устраняют уязвимость, используемую свежеиспеченным червем Worm.Win32.Sasser.b по классификации Касперского.

Автор: DmitryV
Дата сообщения: 06.05.2004 13:29

Цитата:

update EN 1.9 MB Microsoft Windows Server 2003.

Установка не смогла завершится (застряла как вкопанная ~50%)после перезагрузки и отката слитела служба rras кто ставил поделитесь что к чему (W2003 Ser Ent.ed eng) p42,8e ram512, asus p4c800-e-delux

Автор: hoochie
Дата сообщения: 08.05.2004 08:44

Цитата:

Установка не смогла завершится

Я ставил на три srv2003EE eng. На двух стало нормально, на третьем - что-то подобное, как и у тебя. Распаковывается нормально, а когда начинается копирование DLL, то зависает. Причем пробовал несколько раз - зависает не на одной и той же, а на разных DLL. Названия, к сожалению, не записал. Система на AMD, Asus, chip nForce. Есть подозрение на софт, предустановленный перед апдейтом. Т.е., придется сносить все нафиг и ставить заплатки, а потом все остальное.
Насчет того, что RRAS слетела - что ж вы батенька, надо было backup partition сделать... Мелкомягкие сами же предупреждают перед усановкой...
А вообще, здесь запрещено обсуждение - только баги.

Автор: zolboch
Дата сообщения: 23.08.2004 13:38

Никто не сталкивался с тем что при установке на Win2000Server русская версия SP4 перестает работать удаленный доступ по модему (машина работает как удаленный сервер до него дозваниваются по модему и выходят в инет и локалку) клиенты дозваниваются но ни получают ни обного пакета после того как залогинятся И можно ли как нибудь исправить это может есть исправление этой проблеммы

Автор: Zmey
Дата сообщения: 11.11.2004 11:26

В сервере Samba найдена опасная дыра

В распространенном сервере Samba, основанном на протоколе SMB (Server Message Block), выявлена весьма серьезная уязвимость.

Как отмечается в бюллетене безопасности на сайте разработчиков, брешь обеспечивает возможность проведения DoS-атак на удаленные компьютеры.

Проблема связана с неправильной работой функции ms_fnmatch() и проявляется при обслуживании сформированных особым образом имен файлов. В качестве примера вредоносного кода можно привести строку "dir ***********************************************z".

Дыра присутствует в сервере Samba версий 3.0-3.0.7.
Впрочем, патч для уязвимости уже выпущен и доступен для загрузки на этой странице.

Источник:Compulenta.Ru

Автор: Zmey
Дата сообщения: 23.11.2004 13:55

FreeBSD-SA-04:16.fetch
Анонс от 2004-11-18

Переполнение буффера в утилите fetch.

Уязвимость касается всех версий FreeBSD.

Для устранения уязвимости обновите свою версию FreeBSD либо наложите патч:

# ftp ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:16/fetch.patch
# ftp ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:16/fetch.patch.asc

Выполните следующие комманды войдя в систему под пользователем root:

# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/usr.bin/fetch
# make obj && make depend && make && make install

Страницы: 1 2

Предыдущая тема: Как настроить доступ и сетку в WinXP?

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.