Описание:
В конце 2002 года мир узнал о переполнении буфера в rpm-пакете linuxconf, поставляемом в таких известных дистрибутивах как Linux RedHat (7.2-7.3) и Linux Mandrake (8.1-8.2). При установке этого пакета на файл /sbin/linuxconf устанавливается suid-бит, что приводит к возможности выполнения команд от пользователя root.
После компиляции lconfex.c его запускают с параметром -p. В это время происходит переопределение важных переменных среды (LINUXCONF_LANG и DEFAULT_BUFFER_SIZE). Следующим шагом будет старт этого же бинарника с флагом -f. Эксплоит найдет два адреса, используя которые можно переполнить буфер и вызвать рутовый шелл. Как только на экране появятся заветные адреса, взломщик запускает скрипт handy.sh (он поставляется в комплекте с lconfex.c) с найденными кодами памяти в качестве параметров. Если все сделано правильно, хакер получит опции для lconfex. Остается их ввести, и система будет взломана. Перед выполнением последнего запуска эксплоита создается директория segfault.eng и файл с тем же именем внутри нее. Все. Теперь старт эксплоита и получение заветного рутшелла.
Защита:
Защитить свою систему от этой уязвимости возможно путем апдейта пакета linuxconf (в свежих версиях переполнение буфера осуществить невозможно), либо снятием суид-бита с файла /sbin/linuxconf.
Ссылки:
http://packetstormsecurity.nl/0209-exploits/autolinuxconf.tgz — архив с эксплоитом для LinuxConf <= 1.28r3.
