Säkerhetsbulletin från Debian
nlspath -- buffertspill i libc NLSPATH
- Rapporterat den:
- 1997-02-13
- Berörda paket:
- libc5
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.
- Ytterligare information:
-
Ursprungligen rapporterat av: <solar@ideal.ru>
Skalkoden som utnyttjar felet skiljer sig lite från den vanliga:
- Den utför setuid(geteuid()) själv.
- Den är lättare att ändra (inte längre några fasta offset i skalkoden, och skalnamnet kan också ändras - längden är inte fast).
- NULL-pekare själv skickas in i %edx i execve-systemanropet, inte pekaren till NULL (det verkar som ett misstag i Aleph One:s artikel), detta påverkar dock ingenting.
Det kan vara möjligt att utnyttja detta hål utifrån om en patchad telnetklient används, vilken skulle tillåta att stora miljövariabelvärden exporterades. Spillet skulle ske när /bin/login startas i så fall (ungefär som det välkända LD_PRELOAD-utnyttjandet, men som ett spill). Jag är inte helt säker på det dock, det kan finns några restriktioner på miljövariabler i telnetd.
- Rättat i:
- - (i utgåva 1.3)