Ecartis / Listar の複数の脆弱性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

Ecartis / Listar の複数の脆弱性

国際 海外情報

[翻訳:関谷 麻美]
2002年3月15日

概要
 Listar は、(Majordomo や Listserv と同様に)メーリングリストを管理するオープンソースのソフトウェア・パッケージだ。

 Ecartis / Listar において正当でない権限を落とすのみならず、複数のバッファ・オーバーフローの脆弱性が root 権限の不正使用につながる恐れがある。

詳細
 address_match() にリモートで利用可能なバッファ・オーバーフロー

 Listar の全バージョンおよび Ecartis の 1.0.0 snapshot 20020125 より前のバージョンには、address_match() 関数にバッファ・オーバーフローが含まれている。address_match() 関数は、受信した From ヘッダのアドレスとローカル会員のデータベースの比較を処理する。特別に作成された From ヘッダを発行をすることにより、リモートの攻撃者は関数の戻り番地を上書きし、リストマネージャーが稼動するシステムの任意コードを実行することができる。
概念の実証を行うためにコードを開発したが、現時点ではまだ公開されてない。

 2002年1月9日にこの情報をEcartis Core Team に通知し、その翌日修正された snapshot がリリースされた (Ecartis 1.0.0 snapshot 20020110)。

listar の無効な権限
 (postfix のような) 一部の MTA は、高い権限を持たないユーザが ecartisバイナリを実行する可能性がある。そのような場合、setuid-root あるいは setuid が高い権限のないユーザ属性でインストールされたかどうかに拘わらず、ecartis がその権限を変更することはない。これにより、ecartis は MTAに呼び出された場合の UID そして 高い権限のないユーザ属性でインストールされた EUID (SUID と FSUID も)と共に動作するようになる。

 ecartis を(殆どのバイナリ・パッケージと同じように)高い権限のないユーザでインストールされた場合でも不適切にその権限を落としてしまう。

(called with UID=root)
getuid() = root
geteuid() = ecartis
getegid() = ecartis
setuid(ecartis) = root
setgid(ecartis) = root

 上記の UID/GID 初期化の後、UID は依然として root 権限と同等で、どの UID も変更する必要は全くない(少なくとも、Linux の場合、setuid/setgid の実装は他のシステムよって変化する)。

 "lock-to-user" 構成オプションが設定され、ecartis が root 権限でインストールされ、呼び出された場合のみ、稼動権限が正しく落とされる。"lock-to-user" が設定されない場合、ecartis は警告メッセージを表示するが、完全な root 権限で稼動を続ける。

 README ファイルからの引用すると、Ecartis setuid-root のインストールは、推奨されない。

『あなたは多分、高い権限を持たないユーザとしてプログラムを実行させるため ecartis user/group を生成したいと思うだろう。ecartis 実行プログラムをユーザに Chmod し、このユーザがあなたの sendmail プログラムの信用されたユーザであることを確認する。また、全てのリストディレクトリが正しい権限を持ち、ecartis user/group により読み込み/書き込みが可能であることも確認する。』

 たとえ最も安全な Ecartis インストールも推奨されなく、一般的でない。
 上記の全てのケースは、補助グループに関して触れてなく、そして彼らが変更されないままであることに注目して欲しい。それにより、ecartis は殆どの場合、メールか root 権限で呼び出された補助グループと共に動作するかもしれない。

 最新の CVS snapshot 1.0.0-20020125 を含む現行の全バージョンが影響を受ける。ベンダーには、2002年1月13日に通知をしたが、まだ回答は届いてない。

複数のローカル脆弱性
 Ecartis / Listar は、多数のローカル・バッファ・オーバフローや他のセキュリティ・ホールを含む。それらの殆どは、容易に利用される。

影響
 Ecartis / Listar の無数にある悪用可能な脆弱性は、ローカルそしてリモートの root 権限もしくは高い権限を持たないユーザの不正使用に繋がる恐れがある。

 メーリングリスト配布エージェントを持つメーリングリスト管理機能を単一の suid バイナリに組み込む際に、多数のセキュリティホールが開けられる危険性がある。

修正プログラム
 Ecartis 開発バージョンの最新 snapshot において、最初の問題のみ修正された。Exartis 開発チームが声明および修正プログラム情報を listar-
announce メーリングリストに発表した。

http://marc.10east.com/?l=listar-announce&m=101452659032650&w=2

 Listar の全安定バージョンは、前述の問題に対し未だ脆弱で、パッチを適用するか修正済み Ecartis に更新する必要がある。

追加情報
iSEC Security Research の Janusz Niewiadomski、Wojciech Purczynski がこの情報を提供した。

[情報提供:SecuriTeam]
http://www.securiteam.com/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  7. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  8. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  9. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×