Conheça a nossa empresaNotícias de informática e segurançaBoletins, artigos, livros e dicas sobre segurançaO que oferecemosArquivos sobre segurançaUm apoio culturalFale com a Pangeia

 


 

 

 

SEGURANÇA

Boletim 001/98 da Lista de Segurança da Pangéia Informática

6 de Abril de 1998

Tópico: Múltiplos ataques

Desde o final de 1997 (setembro em diante), foram observados mais
de 100 ataques bem sucedidos `a provedores de acesso baseados em
Linux, explorando uma vulnerabilidade de um popular GCI para
contagem de acesso

Esta vulnerabilidade permite a um usuario remoto executar qualquer
programa do sistema com as permissões do usuário do Web Server.

1. Descrição

Um popular contador (wwwcount), também conhecido com Count.cgi,
em sua versão 2.3 e possivelmente anteriores, contem uma falha
que pode ser explorada remotamente, permitindo ao invasor obter
uma conta com os mesmos previlágios do usuário que roda o Web Server.


2. Impacto

Foi observado que, em determinadas circunstancias, esta
caracteréstica pode permitir a um usuário remoto obtenha um
shell local e possa então testar toda sorte de exploits locais,
para obter previlégios de root no sistema.


3. Identificação

Máquinas testadas/invadidas podem ser identificadas pela existencia
de registros incomuns nos arquivos de log do Web Server, tais como
linhas muito grandes referenciando ao "/cgi-bin/Count.cgi" e contendo
comandos como "xterm" ou "/bin/sh" próximos ao final da linha.


4. Solução

Atualização do CGI para versão 2.4 ou superior.
A versáo mais recente do CGI pode ser obtido em:
http://www.fccc.edu/users/muquit


6. Informações adicionais:

Outras informações sobre segurança em:
http://www.pangeia.com.br/faq.html
http://www.nic.br/


5. Agradecimentos:

Bruno Lopes Cabral (bruno@opeline.com.br)
Levy Jr.(levy@fractal.com.br)
Pedro Vazquez (vazquez@iqm.unicamp.br)

 

Voltar
Início

Copyright © 1995 - 2000 Pangeia Informática LTDA. Todos os direitos reservados.