blob: a25a5b37b2320d2b75a18db74199390a10b52de9 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
<define-tag moreinfo>
<p>Originalbericht eingereicht von: <solar@ideal.ru></p>
<p>Der [ausgenutzte] Shellcode ist ein bisschen anders als üblich:</p>
<ul>
<li>er führt setuid(geteuid()) selber durch;</li>
<li>einfacher zu ändern (keine festen Offsets im Shellcode, und der
Shellname kann auch geändert werden – die Länge ist nicht
fest);</li>
<li>der NULL-Zeiger selbst wird in %edx an den execve Systemaufruf
übergeben, nicht der Zeiger auf NULL (es sieht wie ein Fehler in
Aleph Ones Artikel aus); dies scheint allerdings nichts zu
beeinflussen.</li>
</ul>
<p>Es könnte möglich sein, dieses Loch aus der Ferne auszunutzen, falls man
eine gepatchte Version des Telnetclients verwendet, die es erlaubt, große
Umgebungsvariablen zu exportieren. Der Überlauf würde dann beim Start von
/bin/login passieren (so ähnlich wie der berühmte LD_PRELOAD-Angriff,
aber als Überlauf). Ich bin mir allerdings darüber nicht sicher, es könnte
Einschränkungen bei den Umgebungsvariablen in telnetd geben.</p>
</define-tag>
<define-tag description>libc NLSPATH Pufferüberlauf</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/1997/19970213.data'
#use wml::debian::translation-check translation="463077fd27ece5cc31348879643324e68a3c8e73"
# Translator: Helge Kreutzmann, Helge.Kreutzmann@itp.uni-hannover.de, 2003-07-29
|
