BugTraq #4

Xakep, номер #028, стр. 028-010-1

Crazy Nerd, HangUP Team (hangupteam@mail.com), http://hangup.da.ru

Netscape Directory Server 4.1/4.12 Buffer Overflow

Автор: Frank Swiderski

Патчи: www.iplanet.com/downloads/download/0103.html

Система: WinNT

Источник: www.atstake.com/research/advisories/2001/a030701-1.txt

Опасность: краш сервера, исполнение кода

Уязвимость обнаружена в Netscape Messaging Server версии 4.15 SP3, который включает SMTP- и WebMail-сервисы. Переполнение возникает при использовании в RCPT TO: нестандартного имени реципиента (excessive " 0x22 char). Далее SMTP соединяется с Netscape Directory Server для выполнения query. При этом активируется escape_string_with_punctuation() из libslapd.dll, вызывающая еще одну функцию. В результате происходит перезапись стека, с веселыми последствиями.

Microsoft Outlook 2000 v.9.0.0.2711 vCard Buffer Overrun

Автор: Ollie Whitehouse

Патчи: www.microsoft.com/windows/ie/download/critical/q283908/default.asp

Система: WinNT4 SP6a, Win2000

Источник: www.atstake.com/research/advisories/2001/a022301-1.txt

Опасность: выполнение кода

Выполнение кода происходит при открытии Vcard-аттача к письму. Также файл может быть открыт http-обращением:

<a href=http://somesite.com/vcard.vcf>Cool Stuff</a>

Пример vcard-файла: www.atstake.com/research/advisories/2001/Outlook-NT4SP6a-BufferOverflow.vcf

Пример рассчитан на WinNT (SP6a). Сервис-пак является специфичным в силу случайного расположения кода в стеке. EIP не может указывать прямо на код, EAX идет на 4 байта позже. Пример перезаписывает EIP-адресом инструкции JMP EAX (смещение 77BB3923h для SP6a).

Van Dyke Technologies VShell v1.0/1.0.1 Code Execution

Автор: Ollie Whitehouse, David Litchfield

Патчи: доступна новая версия на www.vandyke.com/download/vshell

Система: WinNT4 SP6a, Win2000 SP1

Источник: www.atstake.com/research/advisories/2001/a021601-1.txt

Опасность: выполнение кода как system

Уязвимость этого SSH-гейтвея заключается в способе подтверждения имен пользователей. А именно, VShell страдает от кривого вызова vsprintf() со спец строкой в качестве параметра. Происходит перезапись указателя на адрес последних 8 байт этой строки.

А вот так выглядит username, позволяющий все это проделать:

(wrapped over 5 lines)

AAAAAAAAAAAAAAAAAAAAAAhppaaX-0@2aP\hAAAAX5AAAAPhSHLLhir>Vh/c dhcm

d Phm`OAX-A0 APh@~aaX-~c 5rynAP\haa00X- 1_PXXXXhe`aAX-A02AP\AhO

%q6X5A..Ahp !xX-2;_050P(0AAAAAAAAAAAAAAA%.887861x%.887861x%.69971

7x%.672498x%.669674x%.669674x%.669674x%.669674x%.669674x%.669674x

%.669674x%.669142x%n"c/

Второй уязвимостью является наличие дефолтового правила (0.0.0.0/0.0.0.0), позволяющего пользователю устроить форвардинг на любой сервис, доступный с гейтвея.

NetDDE Message Vulnerability

Автор: DilDog

Патчи: www.microsoft.com/Downloads/Release.asp?ReleaseID=27526

Система: Win2000 (до первого сервис пака включительно)

Источник: www.atstake.com/research/advisories/2001/a020501-1.txt

Опасность: возможность получения system-привилегий

При запуске Network DDE DSDM service, WINLOGON создает спрятанное окно для межпроцессного взаимодействия с различными NetDDE компонентами. Причем WINLOGON запущен с system-привилегиями. С использованием "DDE Copy Data" можно добиться выполнения команд на system.