certcc의 메일링에 올라온 글입니다.
인터넷에 공개된 exploit을 실행한 모양이군요;
실행 결과와 과정이 나와있습니다. 참고하세요.

질문내용

=>

[질문]이상한 화일 루트획득 되는.

저희서버에 사용자가 이상한 화일을 올려놨습니다.
리눅스 7.1 7.2 에서 루트획득이 됩니다.
이 버그는 무엇을 이용한건지.. 어떻게 대처하면 되나요?
호스트네임하구 유져네임은제가 임의로 xxx 로 표시했습니다.
7.1은 한번에 루트획득이 되고 7.2는 두번 실행하니까 루트획득이 됩니다.

[xxx@??? xxx]$ ./mos
attached
exec ./mos 11520
11536: find library=libc.so.6; searching
11536: search cache=/etc/ld.so.cache
11536: trying file=/lib/i686/libc.so.6
11536:
11536:
11536: calling init: /lib/i686/libc.so.6
11536:
11536:
11536: initialize program: grep
11536:
11536:
11536: transferring control: grep
11536:
11536: find library=libKSC.so; searching
11536: search
path=/usr/lib/gconv/i686/mmx:/usr/lib/gconv/i686:/usr/lib/gconv/mmx:/usr/lib
gconv(RPATH from file /usr/lib/gconv/EUC-KR.so)
11536: trying file=/usr/lib/gconv/i686/mmx/libKSC.so
11536: trying file=/usr/lib/gconv/i686/libKSC.so
11536: trying file=/usr/lib/gconv/mmx/libKSC.so
11536: trying file=/usr/lib/gconv/libKSC.so
11536:
11536:
11536: calling init: /usr/lib/gconv/libKSC.so
11536:
11536:
11536: calling init: /usr/lib/gconv/EUC-KR.so
11536:
11536:
11536: calling fini: /usr/lib/gconv/EUC-KR.so
11536:
11536:
11536: calling fini: /usr/lib/gconv/libKSC.so
11536:
11536:
11536: calling fini: /lib/i686/libc.so.6
11536:
sh-2.05$ id
uid=742(xxx) gid=10(xx) groups=10(wheel)
sh-2.05$ id
uid=742(xxx) gid=10(wheel) groups=10(wheel)
sh-2.05$ mos
sh: mos: command not found
sh-2.05$ ./mos
attached
exec ./mos 11553
11569: find library=libc.so.6; searching
11569: search cache=/etc/ld.so.cache
11569: trying file=/lib/i686/libc.so.6
11569:
11569:
11569: calling init: /lib/i686/libc.so.6
11569:
11569:
11569: initialize program: grep
11569:
11569:
11569: transferring control: grep
11569:
11569:
11569: calling fini: /lib/i686/libc.so.6
11569:
sh-2.05# id
uid=0(root) gid=10(wheel) groups=10(wheel)
sh-2.05# w

=>

답변내용

작성자 : 홍석범

아래 말씀하신 예는 리눅스 커널 2.2.19 이하 버전과
2.4.9 이하 버전에서의 race condition 을 이용한 exploit 입니다.

이 소스는 인터넷에 공개되어 있으며 실제로 소스를 컴파일후
실행만 하면 바로 상위 권한을 획득할 수 있으므로
매우 위험하다고 할 수 있습니다.
이 버전 이하에 대해서는 root exploit 외에 내부 DoS 에도
매우 취약하므로 최소한 리눅스 커널 2.2.20 이나
2.4.10 이상으로 업그레이드밖에는 방법이 없습니다.

'Security' 카테고리의 다른 글

new photos from my party! 바이러스 Sendmail 필터링  (0) 2002.02.22
snmpd 보안 취약점  (0) 2002.02.17
간단한 파일무결성 검사 (Fcheck)  (0) 2002.01.14
IP traceback  (0) 2002.01.12
스팸메일 추적  (0) 2001.12.28

+ Recent posts