[S.u.S.E. Linux] FW: qpush: qpopper exploit source
![](https://seccdn.libravatar.org/avatar/8dd5e19ba01c86814003be034323fa98.jpg?s=120&d=mm&r=g)
-----FW: <000901bda358$8df90a40$bc9cdc83@cygnus.tabu.uni-bonn.de>-----
EXTREM WICHTIG!!!!!!! EXTREM WICHTIG!!!!!!! EXTREM WICHTIG!!!!!!!
EXTREM WICHTIG!!!!!!! EXTREM WICHTIG!!!!!!! EXTREM WICHTIG!!!!!!!
EXTREM WICHTIG!!!!!!! EXTREM WICHTIG!!!!!!! EXTREM WICHTIG!!!!!!!
EXTREM WICHTIG!!!!!!! EXTREM WICHTIG!!!!!!! EXTREM WICHTIG!!!!!!!
SICHERHEITSLUECKE IN QPOPPER
============================
qpopper ist ein POP3 Daemon, der in JEDER Suse Linux Distribution
installiert und aktiviert ist!!!
Auch auf vielen anderen Systemen wird er eingesetzt
Es ist moeglich innerhalb von 5 Sekunden von jedem Rechner der Welt aus eine
root-Shell auf dem betroffenen Rechner zu oeffnen.
BETROFFENE SYSTEME:
===================
JEDER SUSE LINUX RECHNER mit aktiviertem qpopper (STANDARDEINSTELLUNG IN
SUSE LINUX!!!)
JEDER ANDERE RECHNER mit qpopper
FESTSTELLEN, OB RECHNER BETROFFEN:
==================================
Ist folgender Eintrag in der /etc/inetd.conf vorhanden, so ist der Rechner
betroffen:
pop3 stream tcp nowait root /usr/sbin/popper -s
(Lautet das Programm ipop3 anstatt popper, so ist der Rechner NICHT
betroffen)
LOESUNG:
========
Ersteinmal deaktivieren des qpoppers in /etc/inetd.conf und danach kill -HUP
auf die Prozess ID vom inetd. Danach installieren eines sicheren POP3
Daemons. (zum Beispiel ipop3d)
Die Sourcen dazu liegen auf ftp.tabu.uni-bonn.de in /pub/patches/unix
<A HREF="ftp://ftp.tabu.uni-bonn.de/pub/patches/unix"><A HREF="ftp://ftp.tabu.uni-bonn.de/pub/patches/unix</A">ftp://ftp.tabu.uni-bonn.de/pub/patches/unix
Hier ein Beispiel-Angriff von szczepan@bse.tabu.uni-bonn.de auf
biblio3.physik.uni-bonn.de
(Dort habe ich den popper nach dem "Angriff" deaktiviert)
================================================================
zczepan@bse:/home/szczepan > ./a.out biblio3.physik.uni-bonn.de
äîÿ¿äîÿ¿äîÿ¿äîÿ¿äîÿ¿".
whoami
root
hostname
biblio3
logout
================================================================
Ich empfehle die sofortige Deaktivierung aller qpopper Daemon Prozesse in
/etc/inetd.conf und einen Neustart des inetd!
Torge Szczepanek - ICQ 3067708
_
Tutor CIP-Pool Physics - Admin SWH Tannenbusch
_
<A HREF="http://cygnus.ml.org/_"><A HREF="http://cygnus.ml.org/_</A">http://cygnus.ml.org/_ <A HREF="mailto:cygnus@iname.com">mailto:cygnus@iname.com</A>
-----Original Message-----
From: Bugtraq List [<A HREF="mailto:BUGTRAQ@NETSPACE.ORG">mailto:BUGTRAQ@NETSPACE.ORG</A>] On Behalf Of Herbert
Rosmanith
Sent: Montag, 29. Juni 1998 02:21
To: BUGTRAQ@NETSPACE.ORG
Subject: qpush: qpopper exploit source
dear listmembers,
this program demonstrates how to exploit popper.
it took me quite a time that vsprintf() in pop_msg
translates all upper-case to lower-case, which will
result in corruptions of assembly code containing
these codes, and interpretes hexcodes like 0x0c, 0x0b
as line seperator (LF?), which seems to stop the copying
of the shell-code too early.
note that, after "qpush" has successfully executed
/bin/sh, you will not see any prompt. type "id" to
see who you are, like that:
$ ./qpush technix.oeh
äîÿ¿äîÿ¿äîÿ¿äîÿ¿äîÿ¿
id
uid=0(root) gid=0(root)
use at your own risk.
regards,
h.rosmanith
herp@wildsau.idv.uni-linz.ac.at
--------------------------- >8 --------------------------------
/* qpush: qualcom popper buffer overflow exploit (pop_msg)
* Mon Jun 29 01:26:06 GMT 1998 - herp
* Herbert Rosmanith
* herp@wildsau.idv.uni-linz.ac.at
*/
#include
participants (1)
-
noel@wipol.uni-bonn.de