Vigil@nce : ncpfs, élévation de privilèges via ncpmount et ncpumount
février 2010 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque les utilitaires ncpmount et ncpumount sont installés suid
root, un attaquant local peut employer un lien symbolique, afin
d’élever ses privilèges, d’obtenir des informations ou de mener un
déni de service.
Gravité : 2/4
Conséquences : accès/droits administrateur, accès/droits
privilégié, accès/droits utilisateur, lecture de données, déni de
service du service, déni de service du client
Provenance : shell utilisateur
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 29/01/2010
PRODUITS CONCERNÉS
- Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Les utilitaires ncpmount et ncpumount permettent de monter un
partage NCP (NetWare Core Protocol) distant dans un répertoire
local. Ces utilitaires sont généralement installés suid root, pour
que tous les utilisateurs puissent les employer.
Cependant, ncpmount ne vérifie pas de manière atomique le
répertoire de montage. Un attaquant local peut donc :
– appeler ncpmount pour monter un partage distant sur
/home/uti/monrep
– au cours de son exécution, remplacer /home/uti/monrep par un
lien symbolique vers /repertoireprive
– attendre que ncpmount monte le partage sur /repertoireprive
Ainsi, en modifiant/lisant le contenu du partage sur le serveur
distant, l’attaquant local peut modifier/lire le contenu de
/repertoireprive.
De plus, l’utilitaire ncpumount ne vérifie pas de manière atomique
le répertoire à démonter. Un attaquant local peut donc :
– appeler "ncpumount /home/uti/monrep"
– au cours de son exécution, remplacer /home/uti/monrep par un
lien symbolique vers /repertoireprive
– attendre que ncpumount démonte /repertoireprive
Un attaquant local peut ainsi démonter le répertoire d’un autre
utilisateur.
Lorsque les utilitaires ncpmount et ncpumount sont installés suid
root, un attaquant local peut donc employer un lien symbolique,
afin d’élever ses privilèges, d’obtenir des informations ou de
mener un déni de service.
CARACTÉRISTIQUES
Références : 532940, CVE-2009-3297, VIGILANCE-VUL-9392
http://vigilance.fr/vulnerabilite/ncpfs-elevation-de-privileges-via-ncpmount-et-ncpumount-9392