SEGURANÇA
Boletim
001/98 da Lista de Segurança da Pangéia Informática
6
de Abril de 1998
Tópico:
Múltiplos ataques
Desde o final de 1997 (setembro em diante), foram
observados mais
de 100 ataques bem sucedidos `a provedores de acesso
baseados em
Linux, explorando uma vulnerabilidade de um popular
GCI para
contagem de acesso
Esta vulnerabilidade permite a um usuario remoto
executar qualquer
programa do sistema com as permissões do usuário
do Web Server.
1. Descrição
Um popular contador (wwwcount), também conhecido com
Count.cgi,
em sua versão 2.3 e possivelmente anteriores, contem
uma falha
que pode ser explorada remotamente, permitindo ao
invasor obter
uma conta com os mesmos previlágios do usuário que
roda o Web Server.
2. Impacto
Foi observado que, em determinadas circunstancias,
esta
caracteréstica pode permitir a um usuário remoto obtenha
um
shell local e possa então testar toda sorte de exploits
locais,
para obter previlégios de root no sistema.
3. Identificação
Máquinas testadas/invadidas podem ser identificadas
pela existencia
de registros incomuns nos arquivos de log do Web Server,
tais como
linhas muito grandes referenciando ao "/cgi-bin/Count.cgi"
e contendo
comandos como "xterm" ou "/bin/sh" próximos ao final
da linha.
4. Solução
Atualização do CGI para versão 2.4 ou superior.
A versáo mais recente do CGI pode ser obtido em:
http://www.fccc.edu/users/muquit
6. Informações adicionais:
Outras informações sobre segurança em:
http://www.pangeia.com.br/faq.html
http://www.nic.br/
5. Agradecimentos:
Bruno Lopes Cabral (bruno@opeline.com.br)
Levy Jr.(levy@fractal.com.br)
Pedro Vazquez (vazquez@iqm.unicamp.br)
|