certcc의 메일링에 올라온 글입니다.
인터넷에 공개된 exploit을 실행한 모양이군요;
실행 결과와 과정이 나와있습니다.
참고하세요.
질문내용
=>
[질문]이상한 화일 루트획득 되는.
저희서버에 사용자가 이상한 화일을 올려놨습니다.
리눅스 7.1 7.2 에서 루트획득이 됩니다.
이 버그는 무엇을 이용한건지..
어떻게 대처하면 되나요?
호스트네임하구 유져네임은제가 임의로 xxx 로 표시했습니다.
7.1은 한번에 루트획득이 되고 7.2는 두번
실행하니까 루트획득이 됩니다.
[xxx@??? xxx]$ ./mos
attached
exec ./mos 11520
11536: find
library=libc.so.6; searching
11536: search cache=/etc/ld.so.cache
11536:
trying file=/lib/i686/libc.so.6
11536:
11536:
11536: calling init:
/lib/i686/libc.so.6
11536:
11536:
11536: initialize program:
grep
11536:
11536:
11536: transferring control:
grep
11536:
11536: find library=libKSC.so; searching
11536:
search
path=/usr/lib/gconv/i686/mmx:/usr/lib/gconv/i686:/usr/lib/gconv/mmx:/usr/lib
gconv(RPATH
from file /usr/lib/gconv/EUC-KR.so)
11536: trying
file=/usr/lib/gconv/i686/mmx/libKSC.so
11536: trying
file=/usr/lib/gconv/i686/libKSC.so
11536: trying
file=/usr/lib/gconv/mmx/libKSC.so
11536: trying
file=/usr/lib/gconv/libKSC.so
11536:
11536:
11536: calling init:
/usr/lib/gconv/libKSC.so
11536:
11536:
11536: calling init:
/usr/lib/gconv/EUC-KR.so
11536:
11536:
11536: calling fini:
/usr/lib/gconv/EUC-KR.so
11536:
11536:
11536: calling fini:
/usr/lib/gconv/libKSC.so
11536:
11536:
11536: calling fini:
/lib/i686/libc.so.6
11536:
sh-2.05$ id
uid=742(xxx) gid=10(xx)
groups=10(wheel)
sh-2.05$ id
uid=742(xxx) gid=10(wheel)
groups=10(wheel)
sh-2.05$ mos
sh: mos: command not found
sh-2.05$
./mos
attached
exec ./mos 11553
11569: find library=libc.so.6;
searching
11569: search cache=/etc/ld.so.cache
11569: trying
file=/lib/i686/libc.so.6
11569:
11569:
11569: calling init:
/lib/i686/libc.so.6
11569:
11569:
11569: initialize program:
grep
11569:
11569:
11569: transferring control:
grep
11569:
11569:
11569: calling fini:
/lib/i686/libc.so.6
11569:
sh-2.05# id
uid=0(root) gid=10(wheel)
groups=10(wheel)
sh-2.05# w
=>
답변내용
작성자 : 홍석범
아래 말씀하신 예는 리눅스 커널 2.2.19 이하 버전과
2.4.9 이하 버전에서의 race condition 을 이용한
exploit 입니다.
이 소스는 인터넷에 공개되어 있으며 실제로 소스를 컴파일후
실행만 하면 바로 상위 권한을 획득할 수 있으므로
매우 위험하다고 할
수 있습니다.
이 버전 이하에 대해서는 root exploit 외에 내부 DoS 에도
매우 취약하므로 최소한 리눅스 커널 2.2.20
이나
2.4.10 이상으로 업그레이드밖에는 방법이 없습니다.
'Security' 카테고리의 다른 글
| new photos from my party! 바이러스 Sendmail 필터링 (0) | 2002.02.22 |
|---|---|
| snmpd 보안 취약점 (0) | 2002.02.17 |
| 간단한 파일무결성 검사 (Fcheck) (0) | 2002.01.14 |
| IP traceback (0) | 2002.01.12 |
| 스팸메일 추적 (0) | 2001.12.28 |