Во FreeBSD устранено 5 уязвимостей, включая критическую root-уязвимость в telnetd

23 декабря 2011 года

Выпущены отчёты об исправлении пяти уязвимостей, затрагивающих базовую систему всех поддерживаемых веток FreeBSD (RELENG_7, RELENG_8, RELENG_9):

• Возможность удалённого исполнения кода через демон telnetd, который отключен в конфигурации по умолчанию с 2001 года. Проблема связана с переполнением буфера при приёме ключей шифрования по протоколу TELNET (выделяется фиксированный буфер и не проверяется размер поступающего ключа, хвост которого может выйти за пределы буфера). В итоге, неаутентифицированный злоумышленник, может выполнить код на сервере с правами telnet-демона, который как правило запускается под пользователем root. Уязвимости подвержены все системы, в которых активен telnetd и не закрыт связанный с ним сетевой порт;
• Отсутствие проверки имени сервиса в pam_start() даёт возможность локальному пользователю поднять свои привилегии в системе через организацию загрузки своей библиотеки с правами root во время загрузки сервисов PAM. Для успешного совершения атаки злоумышленник должен иметь возможность передать имя сервера в функцию "pam_start()", используя не входящие в базовую систему сторонние приложения, например, при наличии доступа к утилите kcheckpass, которая входит в состав порта kde4;
• Некорректное открытие доступа через PAM-модуль

pam_ssh в случае, если у пользователя имеются созданные незашифрованные приватные SSH-ключи. Модуль pam_ssh позволяет организовать аутентификацию при локальном входе в систему по паролю, используемому для шифрования SSH-ключей пользователя, размещённых в директории ~/.ssh. По умолчанию аутентификация возможна, только если SSH-ключ имеет парольную фразу, но библиотека OpenSSL игнорирует аргумент с паролем, если ключ находится не в зашифрованном виде, что позволяет зайти в систему без пароля под пользователем, имеющим такие незашифрованные ключи. Проблема проявляется только при активации pam_ssh в настройках, который по умолчанию не используется;

• Возможность выполнения кода с правами root внутри chroot-окружения в ситуации, когда пользователь имеет возможность входа в систему по ftp с использованием chroot в его домашнюю директорию (используется /etc/ftpchroot). Подробнее об уязвимости можно прочитать здесь.
• Удаленный вызов отказа в обслуживании для DNS-сервера, работающего на базе программы named (BIND 9) из базовой поставки. Атакующий может инициировать крах серверного процесса при формировании запроса к подконтрольному DNS-серверу. При этом для проведения атаки злоумышленнику не обязательно иметь доступ к резолвингу имён через DNS-сервер жертвы, добиться обращения к своему DNS-серверу можно косвенными методами, например, если пользователь атакуемого DNS-сервера попытается открыть ссылку в браузере или система блокирования спама выполнит проверку имени.