Все новости от 11 июля 2000 г.

Сайт Openhack взломан!

3 июля хакер из Австрии Александр Лазич (Alexander Lazic) проник в пакет электронной коммерции MiniVend компании Akopia, обнаружив и использовав два ранее неизвестных пробела в ее защите. (Этот пакет и новые заплатки к нему расположен на сайте www.minivend.com.) В тот же день мы информировали автора MiniVend Майка Хайнса (Mike Heins) о проблемах защиты. 5 июля он опубликовал поправку и заверил нас, что на веб-сайте продукта скоро появится исправленная версия MiniVend. Это жизненно важно для пользователей MiniVend, которых, по оценкам Хайнса, насчитывается от 5 до 10 тысяч — он утверждает, что продукт эксплуатируется на десятках тысяч сайтов (пользователи сгрузили с www.minivend.com миллион копий MiniVend), и теперь все они уязвимы для вновь обнаруженных методов взлома. Простейший способ защитить веб-магазины MiniVend — это удалить файл VIEW_PAGE.HTML, так как проблема кроется именно в нем.

Вот как Лажич проник на сайт. После того как стандартное сканирование сети ничего не дало, он определил, какую программу мы использовали для э-магазина — MiniVend. Он загрузил код MiniVend, который распространяется бесплатно, и попробовал отыскать в нем лазейки. Первую из них Лазич обнаружил в файле VIEW_PAGE.HTML. Это часть демонстрационного магазина MiniVend (вот пример опасности демонстрационного кода). В нем нет проверки на наличие символа трубки (вертикальной черты), что означает, что к имени файла можно добавить команду операционной системы. VIEW_PAGE.HTML обращается к подпрограмме MiniVend с именем READFILE, расположенной в файле UTIL.PM, где обнаружилась вторая лазейка: чтобы проверить наличие файла, код без достаточной защиты использует системный вызов OPEN языка Perl. В данном случае команда OPEN передает входные данные в командную оболочку. Если в этих данных после вертикальной черты содержится команда, она выполняется, используя разрешения, содержащиеся в программе MiniVend. «Так делать нельзя, — говорит Хайнс. — MiniVend существует почти пять лет, но некоторые части кода так и остались неизменными. Если бы я писал эту программу в последние годы, я бы так не поступил».

Итак, Лажич получил возможность, будучи пользователем MiniVend, выполнять любую команду операционной системы. Он переименовал первоначальную домашнюю страницу электронного магазина, а затем воспользовался командой Unix ECHO для создания вместо нее новой страницы. Нам удалось предотвратить это, сделав шаблоны MiniVend доступными пользователям только для чтения. Отметим, что Лажич не получил доступ к нашему серверу электронной коммерции на уровне root. Мы установили все заплатки операционной системы и считаем себя защищенными от любых известных локальных и дистанционных атак на этот уровень.

Обсуждение и комментарии

	Wlad 11 Jul 2000 4:38 PM
Ну, ... и что ?!?!?!?!?! Я что-то не понял, мне что это душу согреть должно было?
	A 11 Jul 2000 4:53 PM
Tallyman ------> http://Akopia.com/tallyman/ MiniVend -----> http://miniVend.com/ Open Sales --> http://openSales.org/ YaMS -------> http://yams.sourceForge.net/ Web Shop --> http://iNetLab.com/ Ananas --> http://www.chat.ru:8100/~appchat/ananas/index.html
	Vlad Kosulin 11 Jul 2000 8:43 PM
To Wlad: Так если не греет - не читай:-) Или все, что когда-либо было написано, должно или греть тебя, или не публиковаться?
	Kuk 12 Jul 2000 7:16 AM
оХ НПМПДЕГ ЮХЧБЛ. чЙДЙНП Х ОЕЗП ВЩМП ЦЕМБОЙЕ ЛПРБФШУС Ч ЙУИПДОЙЛБИ... б ФБЛ, ЪБ УРБУЙВП, МПНБФШ ОЕЙОФЕТЕУОП.
	Dmitry Grigovich - odipbiogate.com 12 Jul 2000 12:45 PM
Для пишущих на perl есть набор рекомендаций, как написать так, чтобы тебя не сломали. Чуть ли не первым пунктом стоит - не использовать функцию open() или очень тщательно проверять ее параметры. А тут такая сломанная программа, да еще широко распространилась ...
	Di 12 Jul 2000 9:26 PM
2Kuk: Ага, блин.. бесплатное бетатестирование. За это платить надо. И немало. Этож труд - искать чужие ошибки!
	Dmitriy - nazarkinmail.ru 27 Jul 2000 9:03 AM
А почему сейчас не отвечает http://www.openhack.com ?