Fwd: OpenSSH Buffer Management Bug Advisory

[Pavel Kankovsky]

On Wed, 17 Sep 2003, Jirka Kosina wrote:

> Ovsem za srovanatelnou kompilkaci povazuji prave to, ze overflowuji jen a 
> pouze hromady nul. Ergo vsechny pointery, ktere ten memset() trefi, budou 
> ukazovat na NULL, a i za predpokladu, ze to nasledujici free() nespadne, 
> stejne se jedna o ne prilis obvykly heap overflow - v jake situaci muzu 
> vyuzit, ze je nejaky pointer ukazuje do stoupy?

To uz je diskuse spis pro vuln-dev nebo jinou specializovanou konferenci,
takze pripadne dalsi dotazy prosim smerovat tam (tedy zrovna ve vuln-devu
ted prihlaseny nejsem, nebot jsem zjistil, ze mne SF tise vykoplo ze vsech
svych konfer :P) nebo na mne osobne.

Nicmene na toto jeste odpovim: jde o to, ze obecne lze prepsat jen cast
ukazatele. Velmi prakticke je to u little-endian architektury, protoze
tam lze prepsanim prvniho bajtu takovy ukazatel posunout o 0-255 pozic
zpet resp. prepsanim dvou bajtu o 0-65535 pozic (podle toho, co tam bylo
puvodne).

V kazdem pripade je videt, ze by se jednalo o velkou bitovou
ekvilibristiku, a hadam, ze fungujici exploit hned tak k dispozici
nebude. :)

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."