Säkerhetsbulletin från Debian

nlspath -- buffertspill i libc NLSPATH

Rapporterat den:
1997-02-13
Berörda paket:
libc5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.
Ytterligare information:

Ursprungligen rapporterat av: <solar@ideal.ru>

Skalkoden som utnyttjar felet skiljer sig lite från den vanliga:

  • Den utför setuid(geteuid()) själv.
  • Den är lättare att ändra (inte längre några fasta offset i skalkoden, och skalnamnet kan också ändras - längden är inte fast).
  • NULL-pekare själv skickas in i %edx i execve-systemanropet, inte pekaren till NULL (det verkar som ett misstag i Aleph One:s artikel), detta påverkar dock ingenting.

Det kan vara möjligt att utnyttja detta hål utifrån om en patchad telnetklient används, vilken skulle tillåta att stora miljövariabelvärden exporterades. Spillet skulle ske när /bin/login startas i så fall (ungefär som det välkända LD_PRELOAD-utnyttjandet, men som ett spill). Jag är inte helt säker på det dock, det kan finns några restriktioner på miljövariabler i telnetd.

Rättat i:
- (i utgåva 1.3)