The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Концептуальная атака против vsftpd, не представляющая реальной угрозы

03.12.2011 09:31

История с обнаружением уязвимостей в ProFTPD и ftpd из состава FreeBSD, связанных с загрузкой библиотек после создания chroot, получила интересное продолжение. Сообщается об обнаружении похожей проблемы в ftp-сервере vsftpd, но уязвимость больше носит теоретический характер, так как чрезвычайно сложно эксплуатируема, требует нереальных условий и в конечном итоге может привести лишь к выполнению кода с правами непривилегированного пользователя, что практически исключает выход за пределы chroot (для повышения привилегий из chroot можно дополнительно эксплуатировать локальную уязвимость в ядре).

Проблема присутствует не в самом vsftpd, а в glibc. Для совершения атаки в системе необходимо наличие устаревшей версии glibc с неисправленной уязвимостью, устраненной ещё в 2009 году. В случае с vsftpd в каталог "~/usr/share/zoneinfo" помещаются специально оформленные файлы временных зон, которые эксплуатируют переполнение буфера в старых версиях библиотеки glibc, которая пытается загрузить данные файлы из иерархии chroot при выполнении определённых FTP-команд.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/32459-vsftpd
Ключевые слова: vsftpd, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, solardiz (ok), 10:39, 03/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Всё гораздо проще: chroot в пользовательские каталоги делать не следует, точка.

    В документации к vsftpd это отражено:

           chroot_local_user
                  If  set  to  YES,  local  users will be (by default) placed in a
                  chroot() jail in their home  directory  after  login.   Warning:
                  This  option  has security implications, especially if the users
                  have upload permission, or shell access. Only enable if you know
                  what  you  are doing.  Note that these security implications are
                  not vsftpd specific. They apply to all FTP daemons  which  offer
                  to put local users in chroot() jails.

                  Default: NO

    Альтернатива: для пользователя, который должен быть в chroot, но при этом иметь доступ на запись в свой домашний каталог, прописать путь к домашнему каталогу в /etc/passwd в виде: /home/user/./home/user (да, с "/./" внутри пути). На наружный /home/user выставить владельцем root, на /home/user/./home/user - user'а. При этом vsftpd с passwd_chroot_enable=YES будет делать chroot в наружный /home/user, в который у user'а записи нет, тогда как реальным домашним каталогом user'а является внутренний (после захода по FTP, будет виден как /home/user и текущий каталог). Вместо /home/user внутри можно использовать и один каталог - например, назвать его homedir - его имя должно быть выбрано таким, чтобы не оказаться частью одного из стандартных путей к чему-то, используемому системными библиотеками. (Вариант с повтором /home/user хорош тем, что /home по FHS предназначен именно для расположения в нем домашних каталогов, а какое-либо другое имя каталога в корневом каталоге мало ли что будет означать для системных библиотек в будущем.)

    Правда, даже с такими настройками очень легко получить уязвимость если остальные настройки приведут к тому, что vsftpd будет делать chroot в домашний каталог не только для пользователей с явно указанным "/./". Тут надо внимательно смотреть все настройки и списки пользователей (у vsftpd есть несколько опций на эту тему).

    Так что лучше таких chroot'ов не делать вообще, тем более что, как правило, смысла в них мало (например, если речь идет об обновлении контента динамического веб-сайта, включая скрипты, выполняемые сервером без chroot). Мы на эти вещи идем когда клиент настаивает несмотря на предупреждение о риске и бессмысленности. ;-)

     
     
  • 2.2, Аноним (-), 16:30, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В proftpd, через черуты настраиваются хомы у вирт-юзеров и это стандартная опция, например, DirectAdmin-а. С одной стороны полезная фича, с другой стороны - неожиданная свинья, хотя и предсказуемая...
     
     
  • 3.3, bircoph (ok), 18:32, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот и результат. Посмотрите на CVE, в proftpd критические уязвимости находят намного чаще, чем во vsftpd. Последний оправдывает своё название и пользователей proftpd я просто не понимаю.
     
     
  • 4.4, Аноним (-), 19:33, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Последний оправдывает своё название и пользователей proftpd я просто не понимаю.

    Секрет прост: vsftpd безопасен, потому что ничего не умеет. А разработчики proftpd о фичах заботятся гораздо больше, чем о безопасности. "Нет в жизни счастья"(с)

     
     
  • 5.5, feuwfvgw (?), 20:29, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Банального перекодирования имен файлов из одной кодировки в другую и то нет. Приходится сторонние сборки брать.
     
     
  • 6.6, Аноним (-), 20:38, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Кто же вам виноват что FTP настолько древний и дебильный протокол что там даже при всем желании нельзя кодировку передаваемых данных указать?
     
     
  • 7.7, йцук (?), 20:43, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    RFC 2640 отменили?
     
     
  • 8.9, Аноним (-), 22:31, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее, забили В хттп например если кому всучили кодировку которую он не понима... текст свёрнут, показать
     
     
  • 9.10, Аноним (-), 06:45, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Кто забил vsftpd и lftp прекрасно поддерживают RFC 2640, Win7 тоже Не поддержи... текст свёрнут, показать
     
     
  • 10.17, уцкеп (?), 20:47, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вот как раз один из форков vsftpd и поддерживает в полной мере стандарт в части ... текст свёрнут, показать
     
  • 10.21, Аноним (-), 22:21, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я знаю, официальный vsftpd не поддерживает RFC 2640 ведь чем больше ф... текст свёрнут, показать
     
     
  • 11.24, arisu (ok), 22:25, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кажется, я нашёл корень проблемы даже два корня вот их пусть и лечат ... текст свёрнут, показать
     
     
  • 12.25, Аноним (-), 23:00, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Почти в каждой конторе, предоставляющей шаред-хостинг, или просто IT-отделе, обс... текст свёрнут, показать
     
     
  • 13.27, arisu (ok), 23:07, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    пожимает плечами потому что 95 населения, увы 8230 ... текст свёрнут, показать
     
  • 13.39, Аноним (-), 03:09, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Просто начальство, как правило не дурнее предлагающего, и считает что напрячь 1 ... текст свёрнут, показать
     
  • 9.11, Аноним (-), 06:47, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это указано в стандарте на FTP Нижняя часть таблицы ASCII ... текст свёрнут, показать
     
     
  • 10.20, Аноним (-), 22:19, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно Поэтому имена файлов с кириллическими, китайскими, арабскими etc си... текст свёрнут, показать
     
     
  • 11.23, arisu (ok), 22:24, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    более того они вдобавок и не нужны совсем ... текст свёрнут, показать
     
     
  • 12.26, Аноним (-), 23:02, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    О, любители классической досовский FAT подтянулись ... текст свёрнут, показать
     
     
  • 13.28, arisu (ok), 23:13, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    нет, нелюбители бардака цифры-английские-буквы-подчёркивание-точки всё, больше... текст свёрнут, показать
     
     
  • 14.31, Аноним (-), 13:53, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Мораль если наш любимый софт чего-то не умеет, значит, это не нужно И плевать ... текст свёрнут, показать
     
     
  • 15.36, arisu (ok), 23:06, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    нет, мораль совсем другая если древний протокол или древняя парадигма чего-то... текст свёрнут, показать
     
  • 14.33, Аноним (-), 18:09, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Уродец типа utf хорош тем что софт получает поддержку многонационального алфавит... текст свёрнут, показать
     
     
  • 15.37, arisu (ok), 23:14, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да не получает, в том-то всё и дело если софт не utf8-aware, то всё равно косяк... большой текст свёрнут, показать
     
     
  • 16.41, Аноним (-), 03:30, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Займитесь И когда ваш уродец встанет на ноги и получит мировое признание без вы... текст свёрнут, показать
     
     
  • 17.47, arisu (ok), 13:41, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    лично мне как-то без разницы, что там надо вам я давно уже использую другой п... текст свёрнут, показать
     
  • 16.44, Аноним (-), 11:34, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Может тогда вообще нафиг отменить имена файлов Есть же номер inode, а там индек... текст свёрнут, показать
     
     
  • 17.48, arisu (ok), 13:42, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    может, ты не будешь идиотничать говорят, если постоянно идиотничать, постепенно... текст свёрнут, показать
     
  • 14.40, Аноним (-), 03:17, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вот так пожалуйста и оформляйте свои посты везде где бы вы ни писали Если уж со... текст свёрнут, показать
     
     
  • 15.42, arisu (ok), 04:24, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    извини, забыл тебя спросить, как мне посты писать ... текст свёрнут, показать
     
     
  • 16.43, 12345 (??), 11:29, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Все нормально, не бери в голову Мы ведь тоже у тебя не спросили, какие имена да... текст свёрнут, показать
     
  • 12.34, Аноним (-), 18:14, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Почему-то мне кажется что многие русскоговорящие, китайцы и прочие арабы с вами ... текст свёрнут, показать
     
     
  • 13.38, arisu (ok), 23:17, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    что ты ищешь себе дополнительных проблем, которые потом будешь героически преодо... текст свёрнут, показать
     
     
  • 14.45, Аноним (-), 12:15, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Приятно видеть умного человека, знающего абсолютно все об окружающих, их желания... текст свёрнут, показать
     
     
  • 15.46, arisu (ok), 13:35, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    можешь называть меня 171 Его Божественная Тень 187 ... текст свёрнут, показать
     
  • 6.8, Аноним (-), 21:46, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Банального перекодирования имен файлов из одной кодировки в другую и то нет. Приходится сторонние сборки брать.

    Насколько я помню, ее ни у кого нет, по идеологическим причинам (аналогично тому, как в современных плеерах нет перекодировки тегов ID3v1).
    Есть левые патчи для proftpd и pure-ftpd, но у последнего с безопасностью все еще хуже (проблемы с головой автора).

     
     
  • 7.12, Аноним (-), 11:26, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что, в 2011м еще кто-то пользует FTP? Как зрелый и стабильный протокол, небось? Некрофилы повсюду, блжад.
     
     
  • 8.14, bircoph (ok), 14:51, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Альтернатив не существует, да и не нужны ... текст свёрнут, показать
     
  • 6.13, bircoph (ok), 14:50, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно перекодирование делается на стороне клиента, не вижу смысла мучить сервер, тем более, весь вменяемый мир давно перешёл на utf8 как раз для того, чтоб проблем не было.
     
     
  • 7.15, пц34ц3 (?), 18:56, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    если бы весь. вечно кто-то использующий какой нить древний тотал командер жалуется на крякозябры. ну правильно, upoad делали из под линукса, а у них винда.
     

  • 1.29, Аноним (-), 11:44, 05/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2. Многочисленные уязвимости безопасности в glibc
      http://securityvulns.ru/news/GNU/glibc/1112.html
      Опубликовано: 4 декабря 2011 г.
      Источник:     BUGTRAQ
      Тип:          библиотека
      Опасность:    8
      Описание:     Повышение привилегий через разделяемые библиотеки,
                     переполнение буфера в fnmatch(), слабая реализация
                     шифрования blowfish в crypt(), DoS-условия.
      Продукты:     GNU: glibc 2.12
      Документы:    MANDRIVA: [ MDVSA-2011:178 ] glibc
                     http://securityvulns.ru/\document395.html
      Обсудить:     http://securityvulns.ru/board12065.html
     
     
  • 2.30, Аноним (-), 13:52, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это раскрутка сайта securityvulns (.) ru?
     
  • 2.32, Аноним (-), 15:52, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А тут - http://securityvulns.ru/news/FreeBSD/nsscompat/CE.html - даже покруче.
     
  • 2.35, Аноним (-), 22:23, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >   Опубликовано: 4 декабря 2011 г.
    >   Продукты:     GNU: glibc 2.12

    Называется проснулись из анабиоза. Это в Mandriva баги за последний год в glibc удосужились поправить. Те дыры ещё весной исправили и степень опасности для них помечена как " "Less critical" (DoS-атака)
    http://secunia.com/advisories/44353/


    https://www.opennet.ru/opennews/art.shtml?num=30204
    11.04.2011   В GNU C Library найдена уязвимость, которая может быть использована для повышения привилегий приложений при достаточно маловероятных обстоятельствах. Проблема вызвана ненадлежащим квотингом вывода команды locale - злоумышленник может установить определенным образом переменные окружения и добиться запуска привилегированного скрипта, в котором вызывается команда locale. Проблема решена в Glibc 2.13.

    https://www.opennet.ru/opennews/art.shtml?num=29818
    07.03.2011 В системной Си-библиотеке Glibc найдена уязвимость, вызванная ошибкой в реализации функции "fnmatch()", которая может привести к повреждению стека при передаче на вход функции специально оформленного имени файла. Уязвимости подвержены использующие данную функцию приложения, например, браузер Chrome. Проблема устранена в Glibc 2.12.2;

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру