|
|
Internet ANYWHERE Mailsrv & NW BORDERMANAGER DoS, IIS ASP SOURCE FLAW
В Novell BorderManager, используемый многими учебными заведениями для ограничения доступа студентов к некоторым сетевым ресурсам, обнаружена возможность dos-атаки на данный сервис.
При установке по умолчанию BorderManager 3.5sp1, spc02 на платформе NetWare 5.0 sp3a с nici 1.3.1 слушает на 2000 порту. После посылки в этот порт нескольких символов перевода строки BorderBanager заберёт себе до 70% системных ресурсов и консоль сразу же выдаст сообщение об ошибке:
1-27-2000 9:34:47 am: SERVER-5.0-830 [nmID=2000A]
Short Term Memory Allocator is out of Memory.
1 attempts to get more memory failed.
Телнет-сессия не завершится до тех пор, пока вы вручную не закроете соединение. После этого каждые две или три минуты ошибка будет повторяться, причём количество попыток быдет стремительно расти (на несколько миллионов с каждым разом). В конце концов (тесте уверяет, что у него это произошло спустя 48 часов после начальной атаки) файрвол обвалится.
Используя netstat/tcpcon, вы можете обнаружить какое-то приложение, слушающее на порту 2000. Если телнет-сессия была завершена с другого конца, tcpcon скажет, что предыдущая сессия была в состоянии closewait. Скорее всего, такая сессия никогда не будет сброшена автоматически, и системные ресурсы будут расходоваться на создание и закрытие соединений к этому порту. Но такое соединение может быть сброшено использованием tcpcon.
Ошибка содержится в модуле CSATPXY.NLM. Это CS Audit Trail Proxy, которое ставится по умолчанию вместе с BorderManager 3.5. Производитель ответил кратко и просто - выгрузите из системы проблемный файл. Это действительно, остановить процесс непрерывного 48-часового креша, но при перезагрузке модуль снова будет подгружен.
ZEUS HTTPD и ЧТЕНИЕ ИСХОДНИКОВ СКРИПТОВ
Данный сервер (версии 3.1.x / 3.3.x) подвержен довольно стандартной уязвимости - при запросе скрипта он возвращает, как и положено, результат его отработки, но, если добавить к имени скрипта в конце нулевой байн (%00), то сервер выдаст его исходный текст. Это происходит потому, что тип файлов '.cgi\0' не является обрабатываемым как 'application/x-httpd-cgi', и посему интерпретируетс как текстовый файл. Однако, файловая система воспринимает 0 как признак окончания строки, и исправно возвращает запрошенный у неё сервисом zeus файл-скрипт (конечно, если на него стоят надлежащие права доступа).
Решение проблемы - либо сделать chmod -r *.cgi, либо скачать апдейт к серверу с сайта производителя : ftp://ftp.zeustechnology.com/pub/products/z3
DENIAL-OF-SERVICE на INTERNET ANYWHERE MAIL SERVER
Данный сервер, всегда страдающий от многочисленных недоделок в коде, опять оказался подвержен удалённым атакам. Первая атака - переполнение в команде RETR:
[ user@evil ~] telnet somewhere.domain 110
+OK POP3 Welcome to somewhere.domain using the Internet Anywhere
Mail Server Version: 3.1.3. Build: 1065 by True North Software,
Inc.
USER lame
+OK valid
PASS stupid
+OK Authorized
RETR 111111111111111111111111
...после чего сервер падает. Они должны проверять значение номера запрашиваемого сообщения. Так же ясно, что данную атаку может провести только авторизованный пользователь.
Так же при установке около 3000 соединений с 25-м портом сервер перестаёт принимать очередные соединения. Количество запросов, после которых сервер становится непригодным, зависит от мощности и конфигурации машины, на которой он установлен. Всё перечисленное относится к последней версии 1.3.1
ОЧЕРЕДНОЙ DESIGN ERROR ASP-ENGINE
При ошибке в скриптах ASP обработчик выдаёт браузеру некую отладочную информацию, в частности, содержащую имя модуля в котором случилась ошибка. Иногда отдельные ASP-файлы оформлены в виде независимых моделей-includes, которые при запросе к серверу выдаются как текстовые документы, а не исполняются, как следовало бы. Итог - при некоторых условиях мы можем частично просмотреть скриптовый "мотор" сайта. А за примерами далеко ходить не надо - достаточно на любом мало-мальски крупном поисковике набрать +"Microsoft VBScript runtime error" +".inc, ", после чего открыть какую-либо из выброшенных ссылок и поискать на ней указания местонахождения .inc-файлов. Пример того, чем это кончается - тут
duke
Team Void
|
|