Xorg file permission change vulnerability PoC

0

1

http://seclists.org/fulldisclosure/2011/Oct/918

http://vladz.devzero.fr/Xorg-CVE-2011-4029.txt

This PoC sets the rights 444 (read for all) on any file specified as argument (default file is «/etc/shadow»). Another good use for an attacker would be to dump an entire partition in order to disclose its full content later (via a «mount -o loop»). Made for EDUCATIONAL PURPOSES ONLY! In some configurations, this exploit must be launched from a TTY (switch by typing Ctrl-Alt-Fn). Tested on Debian 6.0.2 up to date with X default configuration issued from the xserver-xorg-core package (version 2:1.7.7-13).

Ссылка

←	[платина] Какой линукс поставить?

[другая страна],[Премьер-министр Тайваня выражает беспокойство по поводу патента Apple]

→

> linux.org.ru

где перевод?

DoctorSinus ★★★★★
(29.10.11 01:08:15 MSK)

Ответ на: комментарий от DoctorSinus 29.10.11 01:08:15 MSK

я ведь запостил не в новости, а в толксы

вкратце, в Xorg 1.4 - 1.11.2 есть уязвимость, позволяющая ставить любые пермишены на любые файлы, например на /etc/shadow

~~xtraeft~~ ★★☆☆
(29.10.11 01:34:27 MSK) автор топика

Tested on Debian 6.0.2 up to date with X default configuration

пишут что проверено на дебиане 6 со всеми апдейтами

~~xtraeft~~ ★★☆☆
(29.10.11 01:51:45 MSK) автор топика

Ссылка

Ответ на: комментарий от xtraeft 29.10.11 01:34:27 MSK

Не любые, а 0444.

ChALkeR ★★★★★
(29.10.11 01:52:19 MSK)

Ответ на: комментарий от ChALkeR 29.10.11 01:52:19 MSK

в poc да - 0444

могут быть другие варианты эксплуатации

~~xtraeft~~ ★★☆☆
(29.10.11 01:56:15 MSK) автор топика

Суть такая.

1) Xorg выпендривается при создании лока: создаёт лок в /tmp/.tXn-lock, пишет туда, ставит ему права 0444 (по имени файла), линкует его в /tmp/.Xn-lock, грохает /tmp/.tXn-lock. Не-рут потрогать эти файлы не может, всё хорошо.

2) Если пустить два ксорга, можно подгадать так, чтобы один грохнул /tmp/.tXn-lock после того, как второй за него взялся, но до того, как второй ему проставил права 0444. И сделать симлинк на какой-нибудь файл в /tmp/.tXn-lock.

3) Второй ксорг не заметит подмены и сделает чмод для левого файла. А ксорг-то от рута работает!

Мораль: suid для такой большой и страшной хрени — абсолютное зло.

ChALkeR ★★★★★
(29.10.11 01:59:45 MSK)

Ссылка

Ответ на: комментарий от xtraeft 29.10.11 01:56:15 MSK

Как?

ChALkeR ★★★★★
(29.10.11 02:00:03 MSK)

Ответ на: комментарий от ChALkeR 29.10.11 02:00:03 MSK

я неправильно написал - 'возможно могут быть другие варианты эксплуатации' :)

~~xtraeft~~ ★★☆☆
(29.10.11 02:00:42 MSK) автор топика

Ответ на: комментарий от DoctorSinus 29.10.11 01:08:15 MSK

Вот перевод.

ChALkeR ★★★★★
(29.10.11 02:00:43 MSK)

Ссылка

Ответ на: комментарий от xtraeft 29.10.11 02:00:42 MSK

Вперёд! Найдёшь — скажи. Если что — 0444 вбито в код ксорга, а не експлоита.

ChALkeR ★★★★★
(29.10.11 02:01:19 MSK)

Ответ на: комментарий от ChALkeR 29.10.11 02:01:19 MSK

ты прав, я просто невнимательно распарсил http://www.exploit-db.com/exploits/18040/ и увидел 644

вобщем я ошибся

~~xtraeft~~ ★★☆☆
(29.10.11 02:05:09 MSK) автор топика

Ответ на: комментарий от xtraeft 29.10.11 02:05:09 MSK

Я выше описал суть баги, там всё понятно.

ChALkeR ★★★★★
(29.10.11 02:06:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[платина] Какой линукс поставить?

Talks

[другая страна],[Премьер-министр Тайваня выражает беспокойство по поводу патента Apple]

→

Похожие темы