Informations de sécurité / 1997 / Informations sur la sécurité -- nlspath

Bulletin d'alerte Debian

nlspath -- Dépassement de capacité de libc NLSPATH

Date du rapport :

13 février 1997

Paquets concernés :

libc5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Rapporteur original du rapport : <solar@ideal.ru>

La faille dans ce shellcode est un petit peu différente de l'exploitation usuelle :

• il fixe le propriétaire par lui-même (geteuid()) ;
• Très facile à modifier (pas de segment fixé dans le shellcode et le nom du shell peut être changé. De plus, la taille n'est pas fixée) ;
• Le pointeur NULL est lui-même passé dans %edx pour exécution et non pas vers NULL (il semble que ce soit une erreur dans l'article d'Aleph One) ; ceci semble cependant ne pas avoir d'incidence.

Il est possible d'exploiter cette faille à distance si quelqu'un souhaite utiliser un client telnet avec une rustine permettant l'export de grandes valeurs de variables d'environnement. Le débordement apparaîtra alors au démarrage de /bin/login (quelque chose comme le fameux exploit LD_PRELOAD, mais avec un débordement). Je ne suis pas bien sûr de cela cependant, il doit y avoir quelques restrictions sur les variables d'environnement dans telnetd.

Corrigé dans :

- (dans la version 1.3)