Aviso de seguridad de Debian

nlspath -- desbordamiento de búfer en NLSPATH de libc

Fecha del informe:

13 de feb de 1997

Paquetes afectados:

libc5

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.

Información adicional:

Remitente original del informe: <solar@ideal.ru>

El código de shell [explotación] es un poco diferente del usual:

hace setuid ((geteuid()) por sí mismo;
más fácil de modificar (no hay más desplazamientos en el código de la shell, y el nombre de la shell se puede cambiar también: la longitud no es fija);
el puntero NULL por sí mismo se pasa a %edx para ejecutar la llamada al sistema, no el puntero NULL (parece que hay un error en el artículo de Aleph One); esto no parece afectar a ningún pensamiento.

Puede ser posible explotar este agujero remotamente, si uno podía usar un cliente de telnet parcheado que permitiera exportar valores de variables de entorno grandes. El desobrdamiento podía ocurrir en el inicio de /bin/login luego (algo como la famosa explotación de LD_PRELOAD, pero en desbordamiento). No estoy seguro de esto, pero puede haber algunas restricciones en variables de entorno en telnetd.

Arreglado en:

- (en la versión 1.3)