Офигеть, не встать.

[vitus_wagner]

В первый раз вижу zero-day эксплойт к приличной операционке, выполняемый одной штатной шелловской командой. Вернее даже добавлением двух букв в стандартную команду.

Подробности (pdf)
via avva

P.S. IP-адрес я, конечно, затер. Но мог бы и не затирать - он из 10.0.0.0/8

Comments

[blacklion.livejournal.com]

А если есть -- это нормально без пароля пускать, да?

[michaelselehov.livejournal.com]

А у тебя получилось? Я на наших компах воспроизвести не смог...

[blacklion.livejournal.com]

Заходи -- покажу.

[asphyx-lj.livejournal.com]

Юзер с именем "-fvitus"? Сомневаюсь, что такой будет :)

Кстати, NetKit'овский telnetd просто делает вот так:

if (getenv("USER")) {
  addarg(&avs, getenv("USER"));
  if (*getenv("USER") == '-') {
    write(1,"I don't hear you!\r\n",19);
    syslog(LOG_ERR,"Attempt to login with an option!");
    exit(1);
  }
}

Так что ничто, начинающееся с "-" не подсунешь.

[blacklion.livejournal.com]

Юзер с именем "-fvitus"? Сомневаюсь, что такой будет :)
Юзера с именем vitus. Как вы понимаете, можнов писать любого (root'а, правда пошлют). Но любым существующим пользователем можно зайти без пароля.
Это уже огроменная дыра.

[asphyx-lj.livejournal.com]

Пошлют как раз не root'а, а любого обычного юзера при попытке сделать login -f. Так что само по себе это ещё не дыра. Просто, когда login вызывается из-под демона, пущенного от root, или враппера с suid, надо быть аккуратнее.

[blacklion.livejournal.com]

Да, дыра там глупейшая в in.telnetd, конечно. Тягущаяся еще с 4.4BSD, но на всех остальных системах заткнутая.

[cnst.livejournal.com]

а когда её во всес других системах исправили, интересно?

В OpenBSD, например, уже вообще telnetd давно как нет. ;)