Debian-Sicherheitsankündigung

nlspath -- libc NLSPATH Pufferüberlauf

Datum des Berichts:
13. Feb 1997
Betroffene Pakete:
libc5
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
Weitere Informationen:

Originalbericht eingereicht von: <solar@ideal.ru>

Der [ausgenutzte] Shellcode ist ein bisschen anders als üblich:

  • er führt setuid(geteuid()) selber durch;
  • einfacher zu ändern (keine festen Offsets im Shellcode, und der Shellname kann auch geändert werden – die Länge ist nicht fest);
  • der NULL-Zeiger selbst wird in %edx an den execve Systemaufruf übergeben, nicht der Zeiger auf NULL (es sieht wie ein Fehler in Aleph Ones Artikel aus); dies scheint allerdings nichts zu beeinflussen.

Es könnte möglich sein, dieses Loch aus der Ferne auszunutzen, falls man eine gepatchte Version des Telnetclients verwendet, die es erlaubt, große Umgebungsvariablen zu exportieren. Der Überlauf würde dann beim Start von /bin/login passieren (so ähnlich wie der berühmte LD_PRELOAD-Angriff, aber als Überlauf). Ich bin mir allerdings darüber nicht sicher, es könnte Einschränkungen bei den Umgebungsvariablen in telnetd geben.

Behoben in:
- (in Version 1.3)