Satu siri kelemahan baharu dalam telnetd membolehkan keistimewaan root diperoleh pada sistem.

Berikutan penemuan pada akhir Januari tentang kelemahan yang membenarkan sambungan root tanpa pengesahan kata laluan, beberapa teknik peningkatan keistimewaan telah ditemui dalam pelayan telnetd daripada suit GNU InetUtils, hasil daripada tampalan kelemahan yang tidak lengkap pada tahun 1999 (CVE-1999-0073).

Kerentanan ini disebabkan oleh keupayaan telnetd untuk menghantar pembolehubah persekitaran ke pelayan melalui pilihan ENVIRON. Pembolehubah persekitaran sedemikian ditetapkan dan diproses dalam konteks proses telnetd dan dihantar kepada proses anak yang dilancarkan olehnya, termasuk proses /bin/login yang dilancarkan dengan keistimewaan root. Kerentanan CVE-1999-0073 membenarkan klien telnet untuk menghantar pembolehubah persekitaran LD_LIBRARY_PATH, yang, apabila ditetapkan, menyebabkan pustaka kongsi yang ditentukan pengguna dimuatkan apabila proses log masuk bermula. Memandangkan keupayaan untuk memuat naik fail ke sistem yang menyokong sambungan telnet, penyerang boleh memuat naik pustaka yang direka khas dan menyebabkannya dimuatkan dengan keistimewaan root.

Dalam telnetd daripada suit GNU InetUtils, kelemahan telah diperbaiki dengan melumpuhkan pembolehubah persekitaran berbahaya melalui penapisan menggunakan topeng "LD_," "LIBPATH," "ENV," "IFS," dan "_RLD_." Walau bagaimanapun, pembolehubah persekitaran "CREDENTIALS_DIRECTORY", yang diproses semasa permulaan /usr/bin/login, telah dinyahsekat. Menggunakan pembolehubah persekitaran ini, pengguna boleh menukar direktori yang mengandungi kelayakan dan meletakkan fail login.noauth dalam direktori baharu dengan nilai "yes," yang membolehkan log masuk tanpa kata laluan (sama seperti menghantar bendera "-f" kepada proses log masuk). Tetapan ini terpakai kepada semua pengguna, termasuk root.

Serangan ini terdiri daripada pengguna yang tidak mempunyai keistimewaan yang mencipta subdirektori dalam direktori utama mereka, memuat naik fail login.noauth kepadanya, dan cuba log masuk dengan menetapkan pembolehubah persekitaran "CREDENTIALS_DIRECTORY=created directory" dan menghantar pembolehubah persekitaran "USER=root" (Telnet mempunyai mod sambungan automatik di mana nama pengguna tidak diambil daripada baris arahan, tetapi sebaliknya dihantar melalui pembolehubah persekitaran "USER"). Contoh eksploit.

Satu lagi kaedah untuk mendapatkan akses root melalui telnetd telah ditemui. Ini melibatkan manipulasi pembolehubah persekitaran OUTPUT_CHARSET dan LANGUAGE yang diproses oleh pustaka GNU gettext, dan pembolehubah persekitaran GCONV_PATH yang digunakan dalam glibc. Dengan menetapkan pembolehubah persekitaran OUTPUT_CHARSET dan LANGUAGE, penyerang boleh mengaktifkan fungsi penukaran pengekodan aksara dalam gettext, yang memanggil fungsi iconv_open(). Apabila melaksanakan fungsi iconv_open() semasa memuatkan fail konfigurasi gconv-modules, laluan dikira menggunakan pembolehubah persekitaran GCONV_PATH. Dengan menggantikan fail gconv-modules, pustaka kongsi tersuai boleh dimuatkan semasa proses log masuk mengeluarkan rentetan setempat.

Pengecam CVE masih belum diberikan kepada kelemahan yang dikenal pasti. Kaedah mitigasi yang dicadangkan adalah dengan menggunakan senarai putih nilai yang boleh diterima ("TERM," "DISPLAY," "USER," "LOGNAME," dan "POSIXLY_CORRECT") sambil menyekat semua pembolehubah persekitaran lain, sama seperti cara OpenSSH mengurus pembolehubah persekitaran. Kelemahan telah disahkan dalam pakej GNU InetUtils, yang dilaksanakan. pelayan telnetd dari mana ia dibekalkan Debian, Ubuntu dan taburan terbitan. Tiada tampalan untuk GNU InetUtils lagi. Rocky Linux 9 dihantar dengan telnetd yang diubah suai yang tidak terdedah dan menggunakan pemeriksaan senarai putih dan bukannya menapis pembolehubah persekitaran berbahaya. Penapisan senarai putih juga dilaksanakan dalam telnetd FreeBSD. Telnetd telah dialih keluar daripada OpenBSD pada tahun 2005.

Sumber: opennet.ru

Beli pengehosan yang boleh dipercayai untuk tapak dengan perlindungan DDoS, pelayan VPS VDS πŸ”₯ Beli pengehosan laman web yang boleh dipercayai dengan perlindungan DDoS, pelayan VPS VDS | ProHoster