| | ||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||
|
REALSECURE IDS, HT://DIG и NETSCAPE ENTERPRISEДанный веб-сервер подвержен переполнению буффера в строке запроса GET. В NT-версии данного сервера процесс httpd.exe "падает", если в строке запроса GET <parameter> длина строки <parameter> превосходит 4080 символов. При этом происходит перезапись регистра-указателя точки исполнения программы, и поэтому на уязвимой системе может быть исполнен какой-либо код. Так же стоит отметить, что предыдущая версия данного сервера, работающая под управлением SOLARIS или Netware (3.5) не подвержена такой уязвимости. Использование её очень простое: perl -e 'print "GET /";print "A" x 4080;print"\n\n";' | nc www.victim.dom 80 На 3 марта 2000 года производитель не предоставил необходимого патча / апдейта версии. ПОДСЛЕПОВАТАЯ СИСТЕМА ОБНАРУЖЕНИЯ АТАК Популярная система обнаружения атак RealSecure, поставляемая компанией ISS, чей оборот за 1999 год превзошёл 300 млн. долларов, оказалась неспособной обнаруживать некоторые модифицированные типы denial-of-service атак, а так же "хитрые" методы сканирования скриптов на сервере. Говоря о технических деталях, можно сказать, что известная атака teardrop, которая использует "слабости" некоторых TCP-стеков при сборке "перекрывающих" друг друга фрагментированных пакетов, использует фиксированное значение поля ID в IP-пакете. В версии, распространяемой по сети, оно равно 242. Однако данное поле и явилось тем самым признаком, по которому RealSecure идентифицирует проводящуюся атаку - если перед компиляцией, к примеру, пропустить teardrop.c через следующую команду - sed -e /*((u_short *)p_ptr) = htons(242)/*((u_short *)p_ptr) = htons(555)/ < teardrop.c > t34rdr0p.c , то атаки собранным t34rdr0p.c не смогут быть обнаруженными. Помимо этого, RealSecure не смогло обнаружить сканирование скриптов на серверах CGI-сканером whisker. При разделении путей табуляицей (опция -I 6), а так же при завершении строк запросов нулём (опция -I 0) система не опознала активность как подозрительную. ISS дала следующую отмашку /а так выделены наши комментарии к ней - Ред./: "Спасибо, что Вы серьёзно отнеслись к анализу нашей системы обнаружения атак, и к анализу метода распознавания атаки TearDrop. Мы редко получаем столь подробные рапорты /из этой фразы прямо следует оценка уровня технической подготовленности пользователей системы - ред./ и благодарны Вам за это. Теперь мы занимаемся данной проблемой, мы отметили это как ошибку и мы исправим это в следующем релизе /структура RealSecure такова, что все атаки обнаруживаются по конкретной сигнатуре - последовательности строк в пакете или же специфичной последовательности пакетов, или же флаге URGENT в пакете на 139/tcp ;). Ясно, что небольшая модификация эксплоитов, которые используют ошибки класса design error (teardrop или же RFpoison) при наличии базы сигнатур Realsecure сможет помочь избежать определения. В данном случае ход компании будет вполне понятен - купить специалиста, ранее занимавшегося написанием или определением полиморфных вирусов - РЕД/. Мы не тестировали RealSecure против сканера whisker /ясно, что полугосударственная компания пренебрегает "хакерским" программным обеспечением - Ред./, но теперь мы добавили такое тестирование в план разработок. Мы не покладая рук работаем над тестированием наших продуктов против множества атак /наверное, ISS когда-гибудь перекупит у Knoll'O'Gara (занимающейся в том числе и продажей бронеавтомобилей президентского класса) PacketStorm - Ред./ и информация, подобная этой поможет нам улучшать тестовый план с каждым релизом. Пожалуйста, не стесняйтесь сообщать нам об уязвимостях, подобных данной, в будущем, так как это поможет нам улучшить наши продукты /и заработать больше. Интересно, через какое время капитал компании уменьшится вдвое,если публично будет объявлено, что за каждую обшибку повсеместно (и в России в том числе) их системы следует вознаграждение примерно в сто Уругвайских Эксадо ;) - Ред/ УЯЗВИМОСТЬ ПОИСКОВОЙ СИСТЕМЫ. Размышляя, что лучше выбрать для поисковой системы по данному сайту (дорогие читатели, в неделю вы хотя бы два раза это просите), я колебался между полукоммерческой (http://www.comptek.ru/yandex ) или свободно распространяемой (http://www.htdig.org/ - она, кстати, входит в сборник портов FreeBSD, те, кто покупал последний релиз на 4 компакта, могут сами её посмотреть). Естественно, я отдал предпочтение ht://dig, но свежая сводка беспощадного Bugtraq принесла грустные (впрочем, весёлого там практически нету) новости. Проблема заключается в том, что данный поисковик не проверяет входные данные на "политкорректность" - но проблема не в переполнении буффера, а в том, что в конфигурационных файлах можно указывать вложение (include) других файлов путём заключения имени инклюда в 'кавычки' К сожалению, рутины парсинга ввода, полученного из формы, отправленной пользователем и конфигурационных файлов одинаковы. http://www.htdig.org/cgi-bin/htsearch?exclude=%60/etc/passwd%60 cтало результатом (не работает, уже пофиксили). В версии 3.1.5 , доступной с сайта разработчика, уязвимость, конечно же, исправлена. duke
|
