В пакете pppd выявлена уязвимость (CVE-2020-8597), позволяющая выполнить свой код через отправку специально оформленных запросов на аутентификацию к системам, использующим протокол PPP (Point-to-Point Protocol) или PPPoE (PPP over Ethernet). Данные протоколы обычно применяются провайдерами для организации подключения через Ethernet или DSL, а также используются в некоторых VPN (например, pptpd и openfortivpn). Для проверки подверженности своих систем проблеме подготовлен прототип эксплоита.
Уязвимость вызвана переполнением буфера в реализации протокола аутентификации EAP (Extensible Authentication Protocol). Атака может быть совершена на стадии до прохождения аутентификации через отправку пакета с типом EAPT_MD5CHAP, включающим очень длинное имя хоста, не вмещающиеся в выделенный буфер. Из-за отсутствия должной проверки размера поля rhostname, атакующий может перезаписать данные за пределами буфера в стеке и добиться удалённого выполнения своего кода с правами root. Уязвимость проявляется на стороне сервера и клиента, т.е. может быть атакован не только сервер, но и клиент, пытающийся подключиться к серверу, подконтрольному атакующему (например, злоумышленник может вначале взломать через уязвимость сервер, а потом начать поражать подключающихся клиентов).
Проблема затрагивает версии pppd с 2.4.2 по 2.4.8 включительно и устранена в форме патча. Уязвимость также затрагивает стек lwIP, но в конфигурации по умолчанию в lwIP поддержка EAP не включена. Статус устранения проблемы в дистрибутивах можно посмотреть на данных страницах: Debian, Ubuntu, RHEL, Fedora, SUSE, OpenWRT, Arch, NetBSD. В RHEL, OpenWRT и SUSE пакет pppd собран с включением защиты "Stack Smashing Protection" (режим "-fstack-protector" в gcc), что ограничивает эксплуатацию крахом. Кроме дистрибутивов уязвимость также подтверждена в некоторых продуктах Cisco (CallManager), TP-LINK и Synology (DiskStation Manager, VisualStation VS960HD и Router Manager), использующих код pppd или lwIP.
• Source: https://seclists.org/fulldisclosure/2020/Mar/6
• Exploit: https://github.com/marcinguy/CVE-2020-8597
Уязвимость вызвана переполнением буфера в реализации протокола аутентификации EAP (Extensible Authentication Protocol). Атака может быть совершена на стадии до прохождения аутентификации через отправку пакета с типом EAPT_MD5CHAP, включающим очень длинное имя хоста, не вмещающиеся в выделенный буфер. Из-за отсутствия должной проверки размера поля rhostname, атакующий может перезаписать данные за пределами буфера в стеке и добиться удалённого выполнения своего кода с правами root. Уязвимость проявляется на стороне сервера и клиента, т.е. может быть атакован не только сервер, но и клиент, пытающийся подключиться к серверу, подконтрольному атакующему (например, злоумышленник может вначале взломать через уязвимость сервер, а потом начать поражать подключающихся клиентов).
Проблема затрагивает версии pppd с 2.4.2 по 2.4.8 включительно и устранена в форме патча. Уязвимость также затрагивает стек lwIP, но в конфигурации по умолчанию в lwIP поддержка EAP не включена. Статус устранения проблемы в дистрибутивах можно посмотреть на данных страницах: Debian, Ubuntu, RHEL, Fedora, SUSE, OpenWRT, Arch, NetBSD. В RHEL, OpenWRT и SUSE пакет pppd собран с включением защиты "Stack Smashing Protection" (режим "-fstack-protector" в gcc), что ограничивает эксплуатацию крахом. Кроме дистрибутивов уязвимость также подтверждена в некоторых продуктах Cisco (CallManager), TP-LINK и Synology (DiskStation Manager, VisualStation VS960HD и Router Manager), использующих код pppd или lwIP.
• Source: https://seclists.org/fulldisclosure/2020/Mar/6
• Exploit: https://github.com/marcinguy/CVE-2020-8597