Fwd: OpenSSH Buffer Management Bug Advisory

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Středa Září 17 00:51:14 CEST 2003


On Wed, 17 Sep 2003, Jirka Kosina wrote:

> Tady dojde k tomu, ze se tim memsetem() ktery v ni je zapise spousta nul
> tam, kde by rozhodne nemely byt - protoze diky nastavovani buffer->alloc
> prilis brzo je tato hodnota daleko vetsi, nez je velikost bufferu...ale 
> neni mi prilis jasne, jak muzu (jinak nez na DoS, protoze to pravdepodobne 
> nekdy pozdeji sesegfaulti, az se to bude pokusit pristoupit nekam na 
> nulovou adresu) mohl tyto podminky pouzit ke spusteni sveho kodu, ci 
> necemu obdobnemu.

Teoreticky by se mohlo podarit castecne prepsat nejaky pointer pouzivany
mallocem a cele to prevest na nyni uz klasicky exploit na heapu. V praxi
se to ovsem komplikuje tim, ze mi to vzdycky prepise o 2^15 bajtu vic, nez
jsem chtel, coz celou vec dost komplikuje. Je mozne, ze se ukaze, ze to
v takove situaci bezpodminecne naboura hned ve free(), ktere nasleduje
bezprostredne za memset() a to se pak tezko exploituje. :)

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."




Další informace o konferenci Linux