• Moderation vom Bugtraq
• Bug in pico
• Bug in ezmlm-cgi
• locale Bug

Moderation vom Bugtraq

Diese und die letzte Woche kündigte der Moderator vom Bugtraq an, keine Advisories von Microsoft und @Stake mehr zu veröffentlichen. Der Grund: Microsoft wollte nicht, dass man einfach Advisories von ihrer Homepage kopiert und per Mail versendet (was in meinen Augen ziemlich unverständlich ist). Bei @Stake lag das Problem laut dem Moderator von Bugtraq daran, dass in ihren Advisories zum grössten Teil bloss Links zu @Stakes-Webserver liegen. Dadurch würde das Bugtraq-Archiv Lücken bekommen.

Bug in pico

In pico ist eine Symbolic-Link-Vulnerability aufgetaucht. Standardmässig speichert pico alle Aenderungen an einer Datei in $PWD\dateiname.save. Dies tut er, um im Falle eines abnormalen Beendes eine Sicherungskopie zu haben.
Dies tut pico auch in für die ganze Welt schreibbaren Verzeichnissen. Nun ist es deshalb möglich, dass ein "böser Bube", der Shellzugriff auf das System hat, einen Symlink $PWD\dateiname.save erzeugt, der auf eine Datei zeigt, in die der pico-User schreiben kann. Sobald der Benutzer von pico eine Datei editiert, würde das Target des Symlink nur noch den Inhalt des Textes, den der pico-User editiert, enthalten. Dies ist besonders katastrophal, wenn der Symlink zB. auf /vmlinuz zeigt und der pico-Benutzer ein User mit UID 0 ist.
Die Entwickler von pico (die University of Washington) wurden am 15.11.2000 kontaktiert und bis jetzt gibt es noch keinen Fix.
Mehr Details gibt es unter http://www.wkit.com/include/eng/advisories/wsir0112.txt

Bug in ezmlm-cgi

ezmlm-cgi ist ein Bestandteil des ezmlm-idx-0.40 Packetes und erlaubt Zugriff auf Mailinglistenarchive über einen Webbrowser.
Wenn ezmlm das suid-bit für einen anderen User als root gesetzt hat, kann es dazu benutzt werden, Kommandos unter der UID dieses Benutzers auszuführen. Standardmässig sind Installation von ezmlm-cgi nicht suid und deshalb auch nicht verwundbar. ezmlm-cgi ist auch nicht verwundbar, wenn es suid-root ist, weil es den Pfad zur Konfigurationsdatei fest einkompiliert hat und bei der Ausführung die root-Rechte abgibt.
Wenn ezmlm-cgi aber das Suid-Bit für einen anderen Benutzer als root gesetzt hat, dann verhält es sich so, als ob das suid-bit nicht gesetzt wäre. Ein Benutzer, der Leserechte auf eine solches Binary hat, kann es irgendwohin kopieren und dann eine eigene Konfigurationsdatei erstellen (ezmlm-cgi liest diese per Default aus $PWD, wenn es unter einer anderen UID als 0 läuft). Da es möglich ist, in der Konfigurationsdatei ein optionales Bannerprogramm anzugeben, kann man so Kommandos unter der UID des Benutzers, für den das Suid-Bit von ezmlm-cgi gesetzt war, ausführen. Besonders fatal wäre ein rm -rf ~...
Mittlerweile gibt es folgenden Patch: http://www.ezmlm.org/pub/patches/ezmlm-cgi.patch

locale Bug

Vor mehr als 100 Tagen berichtete Bugtraq über einen Input-Validation-Error in der locale-Library vieler Unix-Systeme. Bei diesem Fehler wird ausgenutzt, dass Strings, die ein Benutzer einem Programm übergibt, unerlaubte Zeichen enthalten (wie zB. Shell-Code).
Der Fehler öffnet lokalen Benutzer eine root-Shell. Programme, die zum Ausnutzen des Bugs benutzt werden können, sind zB. su oder eject.
Okay, shit happens. Es ist zwar ziemlich schlimm, dass der Bug allen Benutzern eines Systemes eine root-Shell öffnet, aber viel schlimmer ist die Vorgehensweise, mit der die Hersteller kommerzieller Unix-Systeme damit umgingen: Während die Linux-Distributoren innerhalb von wenigen Tagen einen Fix auslieferten, reagierten sie sehr träge und rel. spät auf den Bug; es gibt erst seit einigen Tagen einen Fix von IBM für AIX. Alle anderen Vendors liessen uns (bis jetzt *hoff*) im Stich. Möglicherweise sollten die kommerziellen Hersteller mal ihre Aufgaben machen und ihre Qualitätssicherung ausbauen :-/
Infos zum Bug und Exploits gibt es unter http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1634

Zum Schluss

Um Kommentare und Hinweise wäre ich sehr froh! Nutzt dazu am Besten die Kommentarfunktion von Symlink. Ihr könnt natürlich auch Fragen zur Kolumne stellen!