セキュリティ情報 / 1997 / セキュリティ情報 -- nlspath

Debian セキュリティ勧告

nlspath -- libc NLSPATH バッファオーバフロー

報告日時:

1997-02-13

影響を受けるパッケージ:

libc5

危険性:

あり

参考セキュリティデータベース:

現時点では、その他の外部参考セキュリティデータベースはありません。

詳細:

最初の報告提出者: <solar@ideal.ru>

[exploit] シェルコードが普通とは少々異なる:

• setuid(geteuid()) を自ら行う。
• 改変が容易 (シェルコードに固定オフセットがなくなり、 シェルの名前も変更可能 — 長さが不定)。
• NULL ポインタ自身が %edx の execve システムコールに渡され、ポインタを NULL にしない (これは Aleph One の記事の誤りだと思われる)。 これによる影響は特にないと思われますが。

この欠陥は巨大な環境変数の値をエクスポートできるようにパッチを適用した telnet クライアントを使うことで、リモートから悪用可能です。 オーバフローは /bin/login を開始した時点から発生します (有名な LD_PRELOAD の悪用にやや似ていますがこれはオーバフローです)。 自分はそれが何なのかよくわかっていませんが、telnetd の環境変数の制限の一部かもしれません。

修正:

- (リリース 1.3 において)