Опасные уязвимости в MIT Kerberos, Apache Tomcat, xpdf и Linux ядре

9 апреля 2009 года

Несколько новых уязвимостей:

• Несколько критических уязвимостей обнаружено в MIT Kerberos и производных продуктах, например в Solaris SEAM Kerberos. Первая уязвимость в коде декодирования ASN.1, позволяет удаленному злоумышленнику вызвать крах kadmind или выполнить свой код в системе. Вторая ошибка в коде с реализацией SPNEGO GSS-API позволяет вызвать крах kadmind или получить доступ к служебной области памяти процесса. Третья ошибка затрагивает код PK-INIT и может быть использована для вызова отказа в обслуживании KDC (Key Distribution Center) или kinit. Уязвимости присутствуют во всех версиях MIT Kerberos 5 (krb5), выпущенных до релиза 1.6.4. Кроме того уязвимостям подвержены (Архивная копия от 1 сентября 2009 на Wayback Machine) версии Kerberos из состава OpenSolaris, Solaris 9 и 10, а также пакет Enterprise Authentication Mechanism 1.0.1.
• В mod_jk из состава пакета Apache Tomcat найдена уязвимость, позволяющая организовать подстановку результата выполнения запроса к серверу злоумышленника в качестве ответа на запрос постороннего пользователя. Проблема вызвана ошибкой в обработчике POST запроса при указании ненулевого значения в заголовке "Content-Length" в сочетании с отсутствием передаваемых данных. Проблема присутствует в mod_jk версий с 1.2.0 по 1.2.26, поставляемом в составе Tomcat 4.0.0 - 4.0.6, 4.1.0 - 4.1.36, 5.0.0 - 5.0.30, 5.5.0 - 5.5.27;
• В Xpdf зафиксирована проблема безопасности, связанная с попыткой чтения управляющего "xpdfrc" файла из текущей директории, в случае отсутствия ".xpdfrc" в домашней директории пользователя. Атакующий может обманом подтолкнуть пользователя к выполнению xpdf в директории со специальным образом оформленном "xpdfrc" файле и организовать выполнение кода локального злоумышленника. Проблема подтверждена пока только в Gentoo Linux;
• Несколько уязвимостей найдено в Linux ядре:
• В функции "exit_notify()" (kernel/exit.c) некорректно обрабатывались полномочия "CAP_KILL", что могло быть использовано для вызова setuid программы до завершения процесса, без сброса сигнала в SIGCHLD. Дополнение: опубликован эксплоит (Архивная копия от 11 марта 2017 на Wayback Machine), позволяющий получить root привилегии, в случае когда /proc/sys/fs/suid_dumpable равен 1 или 2 (по умолчанию 0);
• Целочисленное переполнение в функциях "nr_sendmsg()" (net/netrom/af_netrom.c), "rose_sendmsg()" (net/rose/af_rose.c) и "x25_sendmsg()" (net/x25/af_x25.c), потенциально может быть использовано для получения доступа к служебной информации ядра;
• В CIFS (SMB) коде найден способ переполнения буфера при попытке монтирования удаленного ресурса злоумышленника.