Ecartis / Listar の複数の脆弱性
[翻訳:関谷 麻美]
2002年3月15日
国際
海外情報
2002年3月15日
概要
Listar は、(Majordomo や Listserv と同様に)メーリングリストを管理するオープンソースのソフトウェア・パッケージだ。
Ecartis / Listar において正当でない権限を落とすのみならず、複数のバッファ・オーバーフローの脆弱性が root 権限の不正使用につながる恐れがある。
詳細
address_match() にリモートで利用可能なバッファ・オーバーフロー
Listar の全バージョンおよび Ecartis の 1.0.0 snapshot 20020125 より前のバージョンには、address_match() 関数にバッファ・オーバーフローが含まれている。address_match() 関数は、受信した From ヘッダのアドレスとローカル会員のデータベースの比較を処理する。特別に作成された From ヘッダを発行をすることにより、リモートの攻撃者は関数の戻り番地を上書きし、リストマネージャーが稼動するシステムの任意コードを実行することができる。
概念の実証を行うためにコードを開発したが、現時点ではまだ公開されてない。
2002年1月9日にこの情報をEcartis Core Team に通知し、その翌日修正された snapshot がリリースされた (Ecartis 1.0.0 snapshot 20020110)。
listar の無効な権限
(postfix のような) 一部の MTA は、高い権限を持たないユーザが ecartisバイナリを実行する可能性がある。そのような場合、setuid-root あるいは setuid が高い権限のないユーザ属性でインストールされたかどうかに拘わらず、ecartis がその権限を変更することはない。これにより、ecartis は MTAに呼び出された場合の UID そして 高い権限のないユーザ属性でインストールされた EUID (SUID と FSUID も)と共に動作するようになる。
ecartis を(殆どのバイナリ・パッケージと同じように)高い権限のないユーザでインストールされた場合でも不適切にその権限を落としてしまう。
(called with UID=root)
getuid() = root
geteuid() = ecartis
getegid() = ecartis
setuid(ecartis) = root
setgid(ecartis) = root
上記の UID/GID 初期化の後、UID は依然として root 権限と同等で、どの UID も変更する必要は全くない(少なくとも、Linux の場合、setuid/setgid の実装は他のシステムよって変化する)。
"lock-to-user" 構成オプションが設定され、ecartis が root 権限でインストールされ、呼び出された場合のみ、稼動権限が正しく落とされる。"lock-to-user" が設定されない場合、ecartis は警告メッセージを表示するが、完全な root 権限で稼動を続ける。
README ファイルからの引用すると、Ecartis setuid-root のインストールは、推奨されない。
『あなたは多分、高い権限を持たないユーザとしてプログラムを実行させるため ecartis user/group を生成したいと思うだろう。ecartis 実行プログラムをユーザに Chmod し、このユーザがあなたの sendmail プログラムの信用されたユーザであることを確認する。また、全てのリストディレクトリが正しい権限を持ち、ecartis user/group により読み込み/書き込みが可能であることも確認する。』
たとえ最も安全な Ecartis インストールも推奨されなく、一般的でない。
上記の全てのケースは、補助グループに関して触れてなく、そして彼らが変更されないままであることに注目して欲しい。それにより、ecartis は殆どの場合、メールか root 権限で呼び出された補助グループと共に動作するかもしれない。
最新の CVS snapshot 1.0.0-20020125 を含む現行の全バージョンが影響を受ける。ベンダーには、2002年1月13日に通知をしたが、まだ回答は届いてない。
複数のローカル脆弱性
Ecartis / Listar は、多数のローカル・バッファ・オーバフローや他のセキュリティ・ホールを含む。それらの殆どは、容易に利用される。
影響
Ecartis / Listar の無数にある悪用可能な脆弱性は、ローカルそしてリモートの root 権限もしくは高い権限を持たないユーザの不正使用に繋がる恐れがある。
メーリングリスト配布エージェントを持つメーリングリスト管理機能を単一の suid バイナリに組み込む際に、多数のセキュリティホールが開けられる危険性がある。
修正プログラム
Ecartis 開発バージョンの最新 snapshot において、最初の問題のみ修正された。Exartis 開発チームが声明および修正プログラム情報を listar-
announce メーリングリストに発表した。
http://marc.10east.com/?l=listar-announce&m=101452659032650&w=2
Listar の全安定バージョンは、前述の問題に対し未だ脆弱で、パッチを適用するか修正済み Ecartis に更新する必要がある。
追加情報
iSEC Security Research の Janusz Niewiadomski、Wojciech Purczynski がこの情報を提供した。
[情報提供:SecuriTeam]
http://www.securiteam.com/
《ScanNetSecurity》