Ecartis / Listar の複数の脆弱性

［翻訳：関谷　麻美］
2002年3月15日

国際海外情報

2002年3月20日（水） 12時00分

［翻訳：関谷　麻美］
2002年3月15日

概要
　Listar は、（Majordomo や Listserv と同様に）メーリングリストを管理するオープンソースのソフトウェア・パッケージだ。

　Ecartis / Listar において正当でない権限を落とすのみならず、複数のバッファ・オーバーフローの脆弱性が root 権限の不正使用につながる恐れがある。

詳細
　address_match() にリモートで利用可能なバッファ・オーバーフロー

　Listar の全バージョンおよび Ecartis の 1.0.0 snapshot 20020125 より前のバージョンには、address_match() 関数にバッファ・オーバーフローが含まれている。address_match() 関数は、受信した From ヘッダのアドレスとローカル会員のデータベースの比較を処理する。特別に作成された From ヘッダを発行をすることにより、リモートの攻撃者は関数の戻り番地を上書きし、リストマネージャーが稼動するシステムの任意コードを実行することができる。
概念の実証を行うためにコードを開発したが、現時点ではまだ公開されてない。

　2002年1月9日にこの情報をEcartis Core Team に通知し、その翌日修正された snapshot がリリースされた (Ecartis 1.0.0 snapshot 20020110)。

listar の無効な権限
　(postfix のような) 一部の MTA は、高い権限を持たないユーザが ecartisバイナリを実行する可能性がある。そのような場合、setuid-root あるいは setuid が高い権限のないユーザ属性でインストールされたかどうかに拘わらず、ecartis がその権限を変更することはない。これにより、ecartis は MTAに呼び出された場合の UID そして高い権限のないユーザ属性でインストールされた EUID (SUID と FSUID も）と共に動作するようになる。

　ecartis を（殆どのバイナリ・パッケージと同じように）高い権限のないユーザでインストールされた場合でも不適切にその権限を落としてしまう。

(called with UID=root)
getuid() = root
geteuid() = ecartis
getegid() = ecartis
setuid(ecartis) = root
setgid(ecartis) = root

　上記の UID/GID 初期化の後、UID は依然として root 権限と同等で、どの UID も変更する必要は全くない（少なくとも、Linux の場合、setuid/setgid の実装は他のシステムよって変化する）。

　"lock-to-user" 構成オプションが設定され、ecartis が root 権限でインストールされ、呼び出された場合のみ、稼動権限が正しく落とされる。"lock-to-user" が設定されない場合、ecartis は警告メッセージを表示するが、完全な root 権限で稼動を続ける。

　README ファイルからの引用すると、Ecartis setuid-root のインストールは、推奨されない。

『あなたは多分、高い権限を持たないユーザとしてプログラムを実行させるため ecartis user/group を生成したいと思うだろう。ecartis 実行プログラムをユーザに Chmod し、このユーザがあなたの sendmail プログラムの信用されたユーザであることを確認する。また、全てのリストディレクトリが正しい権限を持ち、ecartis user/group により読み込み/書き込みが可能であることも確認する。』

　たとえ最も安全な Ecartis インストールも推奨されなく、一般的でない。
　上記の全てのケースは、補助グループに関して触れてなく、そして彼らが変更されないままであることに注目して欲しい。それにより、ecartis は殆どの場合、メールか root 権限で呼び出された補助グループと共に動作するかもしれない。

　最新の CVS snapshot 1.0.0-20020125 を含む現行の全バージョンが影響を受ける。ベンダーには、2002年1月13日に通知をしたが、まだ回答は届いてない。

複数のローカル脆弱性
　Ecartis / Listar は、多数のローカル・バッファ・オーバフローや他のセキュリティ・ホールを含む。それらの殆どは、容易に利用される。

影響
　Ecartis / Listar の無数にある悪用可能な脆弱性は、ローカルそしてリモートの root 権限もしくは高い権限を持たないユーザの不正使用に繋がる恐れがある。

　メーリングリスト配布エージェントを持つメーリングリスト管理機能を単一の suid バイナリに組み込む際に、多数のセキュリティホールが開けられる危険性がある。

修正プログラム
　Ecartis 開発バージョンの最新 snapshot において、最初の問題のみ修正された。Exartis 開発チームが声明および修正プログラム情報を listar-
announce メーリングリストに発表した。

http://marc.10east.com/?l=listar-announce&m=101452659032650&w=2

　Listar の全安定バージョンは、前述の問題に対し未だ脆弱で、パッチを適用するか修正済み Ecartis に更新する必要がある。

追加情報
iSEC Security Research の Janusz Niewiadomski、Wojciech Purczynski がこの情報を提供した。

［情報提供：SecuriTeam］
http://www.securiteam.com/

《ScanNetSecurity》