Ecartis / Listar の複数の脆弱性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.19(金)

Ecartis / Listar の複数の脆弱性

[翻訳:関谷 麻美] 2002年3月15日

国際 海外情報
[翻訳:関谷 麻美]
2002年3月15日

概要
 Listar は、(Majordomo や Listserv と同様に)メーリングリストを管理するオープンソースのソフトウェア・パッケージだ。

 Ecartis / Listar において正当でない権限を落とすのみならず、複数のバッファ・オーバーフローの脆弱性が root 権限の不正使用につながる恐れがある。

詳細
 address_match() にリモートで利用可能なバッファ・オーバーフロー

 Listar の全バージョンおよび Ecartis の 1.0.0 snapshot 20020125 より前のバージョンには、address_match() 関数にバッファ・オーバーフローが含まれている。address_match() 関数は、受信した From ヘッダのアドレスとローカル会員のデータベースの比較を処理する。特別に作成された From ヘッダを発行をすることにより、リモートの攻撃者は関数の戻り番地を上書きし、リストマネージャーが稼動するシステムの任意コードを実行することができる。
概念の実証を行うためにコードを開発したが、現時点ではまだ公開されてない。

 2002年1月9日にこの情報をEcartis Core Team に通知し、その翌日修正された snapshot がリリースされた (Ecartis 1.0.0 snapshot 20020110)。

listar の無効な権限
 (postfix のような) 一部の MTA は、高い権限を持たないユーザが ecartisバイナリを実行する可能性がある。そのような場合、setuid-root あるいは setuid が高い権限のないユーザ属性でインストールされたかどうかに拘わらず、ecartis がその権限を変更することはない。これにより、ecartis は MTAに呼び出された場合の UID そして 高い権限のないユーザ属性でインストールされた EUID (SUID と FSUID も)と共に動作するようになる。

 ecartis を(殆どのバイナリ・パッケージと同じように)高い権限のないユーザでインストールされた場合でも不適切にその権限を落としてしまう。

(called with UID=root)
getuid() = root
geteuid() = ecartis
getegid() = ecartis
setuid(ecartis) = root
setgid(ecartis) = root

 上記の UID/GID 初期化の後、UID は依然として root 権限と同等で、どの UID も変更する必要は全くない(少なくとも、Linux の場合、setuid/setgid の実装は他のシステムよって変化する)。

 "lock-to-user" 構成オプションが設定され、ecartis が root 権限でインストールされ、呼び出された場合のみ、稼動権限が正しく落とされる。"lock-to-user" が設定されない場合、ecartis は警告メッセージを表示するが、完全な root 権限で稼動を続ける。

 README ファイルからの引用すると、Ecartis setuid-root のインストールは、推奨されない。

『あなたは多分、高い権限を持たないユーザとしてプログラムを実行させるため ecartis user/group を生成したいと思うだろう。ecartis 実行プログラムをユーザに Chmod し、このユーザがあなたの sendmail プログラムの信用されたユーザであることを確認する。また、全てのリストディレクトリが正しい権限を持ち、ecartis user/group により読み込み/書き込みが可能であることも確認する。』

 たとえ最も安全な Ecartis インストールも推奨されなく、一般的でない。
 上記の全てのケースは、補助グループに関して触れてなく、そして彼らが変更されないままであることに注目して欲しい。それにより、ecartis は殆どの場合、メールか root 権限で呼び出された補助グループと共に動作するかもしれない。

 最新の CVS snapshot 1.0.0-20020125 を含む現行の全バージョンが影響を受ける。ベンダーには、2002年1月13日に通知をしたが、まだ回答は届いてない。

複数のローカル脆弱性
 Ecartis / Listar は、多数のローカル・バッファ・オーバフローや他のセキュリティ・ホールを含む。それらの殆どは、容易に利用される。

影響
 Ecartis / Listar の無数にある悪用可能な脆弱性は、ローカルそしてリモートの root 権限もしくは高い権限を持たないユーザの不正使用に繋がる恐れがある。

 メーリングリスト配布エージェントを持つメーリングリスト管理機能を単一の suid バイナリに組み込む際に、多数のセキュリティホールが開けられる危険性がある。

修正プログラム
 Ecartis 開発バージョンの最新 snapshot において、最初の問題のみ修正された。Exartis 開発チームが声明および修正プログラム情報を listar-
announce メーリングリストに発表した。

http://marc.10east.com/?l=listar-announce&m=101452659032650&w=2

 Listar の全安定バージョンは、前述の問題に対し未だ脆弱で、パッチを適用するか修正済み Ecartis に更新する必要がある。

追加情報
iSEC Security Research の Janusz Niewiadomski、Wojciech Purczynski がこの情報を提供した。

[情報提供:SecuriTeam]
http://www.securiteam.com/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×