Информация по безопасности / 1997 / Информация о безопасности -- nlspath

Рекомендация Debian по безопасности

nlspath -- переполнение буфера libc NLSPATH

Дата сообщения:

13.02.1997

Затронутые пакеты:

libc5

Уязвим:

Да

Ссылки на базы данных по безопасности:

На данный момент ссылки на внешние базы данных по безопасности отсутствуют.

Более подробная информация:

Изначально о проблеме сообщил <solar@ideal.ru>

Код командной оболочки немного отличается от обычного:

• он сам выполняет setuid(geteuid());
• его легко изменять (более нет зафиксированных смещений, а имя командной оболочки может быть изменено — её длина не фиксирована);
• сам NULL-указатель передаётся в %edx системному вызову execve, а не указатель на NULL (это похоже на ошибку в статье Aleph One); хотя, как кажется, это не вызывает проблем.

Данную уязвимость можно использовать удалённо, если используется специально подготовленный клиент telnet, который позволяет экспортировать большие значения переменных окружения. Переполнение происходит во время /bin/login (что-то типа знаменитой уязвимости LD_PRELOAD, но это переполнение). Я не уверено в этом, но для переменных окружения могут быть какие-то ограничения в telnetd.

Исправлено в:

- (в выпуске 1.3)