Vigil@nce - Unix : lecture de fichier via chsh ou chfn
février 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut employer chsh ou chfn, afin de lire les
fichiers protégés, qui contiennent une ligne connue.
Gravité : 2/4
Date création : 09/02/2012
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Les programmes suid root chsh et chfn permettent à chaque
utilisateur de changer leur shell par défaut ou leur nom complet.
Par exemple :
$ chsh
Password : [saisir le mot de passe de l’utilisateur]
Entrez votre nouveau shell : [saisir "bonjour"]
Erreur : le shell "bonjour" n’est pas valide
Ainsi, si l’utilisateur saisit son mot de passe, puis une erreur,
cette erreur est réaffichée par chsh.
Si un attaquant local connaît la première ligne d’un fichier, il
peut changer son mot de passe pour correspondre à cette ligne.
Ensuite, en dupliquant l’entrée standard (stdin) de chsh vers le
fichier, la deuxième ligne de ce fichier sera affichée dans le
message d’erreur.
Si la ligne connue par l’attaquant est par exemple la quatrième
ligne, les trois premières lignes seront interprétées comme des
erreurs de saisie de mot de passe, et l’attaquant pourra lire la
cinquième ligne. L’attaquant peut ensuite changer son mot de passe
pour correspondre à la cinquième ligne, ce qui lui permettra de
lire la sixième. En répétant l’opération, l’attaquant peut donc
lire toutes les lignes situées en dessous d’une ligne connue (si
son compte n’est pas verrouillé après un certain nombre de saisies
de mot de passe erronées).
Cette attaque ne peut pas être utilisée pour lire /etc/shadow, car
l’attaquant ne connaît pas de ligne de ce fichier (la sienne
contient un salt).
Sur les systèmes où chsh/chfn ne demande pas de mot de passe,
cette attaque peut être utilisée sans limite.
Un attaquant local peut donc employer chsh ou chfn, afin de lire
les fichiers protégés, qui contiennent une ligne connue.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Unix-lecture-de-fichier-via-chsh-ou-chfn-11348