В системе suexec из комплекта apache 1.3.x и 2.x обнаружено несколько уязвимостей, позволяющих локальному злоумышленнику запусить свой скрипт с правами другого непривилегированного пользователя:
- Возможность подмены директории на симлинк (Race Condition), в момент после проверки директории и перед переходом в нее.
- Ошибка дизайна кода проверки путей, вхождение поддиректории определяется через strncmp(), т.е. в дополнение к описанной в конфиругации директории "/var/www/html" проверка будет удачной и для "/var/www/html_backup" или "/var/www/htmleditor".
- Имея возможность запуска suexec с передачей параметров командной строки (обычно, запуск разрешен только с uid httpd процесса), злоумышленник может создать файлы c UID и GID других пользователей.
Представители HTTPD team из Apache Software Foundation, определили проблему как несущественную, так как для использования любой из вышеперечисленных уязвимостей злоумышленник должен иметь права на запись в document root директорию и запусить suexec в нужный момент с правами apache, что крайне маловероятно и может возникнуть только при некорректных настройках сервера.
|