La aplicación «mailx» de Solaris contiene un desbordamiento de búfer en
la gestión del parámetro «-F», que permite ejecutar código arbitrario en
una máquina. Dicho código se ejecutará con los privilegios con los que
se ejecuta «mailx» que, típicamente, es SETGID al grupo «mail».
«mailx» es un sencillo cliente de correo electrónico, en línea de
comandos.
La vulnerabilidad afecta a todas las versiones Solaris desde la 2.5,
inclusive, tanto en la versión SPARC como x86. Para saber si somos
vulnerables, podemos escribir algo del estilo:
mailx -F «python -c ‘print «a»*1220’ «
o bien
mailx -F «perl -e ‘print «a»x1220’ «
Si aparece un error de «bus error» o similar, somos vulnerables.
Conseguir ejecutar código SETGID «mail» permite, como mínimo, acceso
ilimitado a los buzones de correo de otros usuarios. Bajo algunas
versiones de Solaris existen directorios y ficheros adicionales
accesibles como grupo «mail», pudiendo, a través de su manipulación,
escalar privilegios hasta nivel de superusuario; por ejemplo, 2.5.1,
directorio «/etc/mail».
Mientras Sun no publica un parche oficial, la opción recomendada es
eliminar el programa «mailx» o quitarle el modo SETGID.
jcea@hispasec.com
Más información:
Solaris mailx -F Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/2610
