home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack / ssh-1_2_26-kerberos.txt < prev    next >
Encoding:
Internet Message Format  |  1998-11-04  |  17.8 KB
  1. Date: Thu, 5 Nov 1998 02:38:51 +0200
  2. From: Tatu Ylonen <ylo@SSH.FI>
  3. To: BUGTRAQ@netspace.org
  4. Subject: security patch for ssh-1.2.26 kerberos code
  5.  
  6. -----BEGIN PGP SIGNED MESSAGE-----
  7.  
  8. This message contains information relevant to people who compile ssh
  9. with --with-kerberos5.  There is one or more potential security
  10. problem in the Kerberos code.  These issues are not relevant for
  11. people who have not explicitly specified --with-kerberos5 on the
  12. configure command line.
  13.  
  14. Peter Benie <pjb1008@cam.ac.uk> found a buffer overflow in the
  15. kerberos authentication code.  To quote from his mail:
  16.  
  17. > What about sshconnect.c, line 1139
  18. >
  19. >     sprintf(server_name,"host/%s@", remotehost);
  20. >
  21. > where remotehost is (char *) get_canonical_hostname() (up to 255 chars),
  22. > is copied into server_name (a 128 char buffer)?
  23.  
  24. It looks to me like this is a genuine buffer overflow.  I had not
  25. noticed it when going through the code.
  26.  
  27. This buffer overflow is, however, extremely hard to exploit:
  28.   1. The victim must have have client compiled with --with-kerberos5 and
  29.      --enable-kerberos-tgt-passing.
  30.   2. The victim must be connecting to a server running with the same
  31.      options (i.e., krb5 with tgt passing).
  32.   3. You must do the following DNS spoofing:
  33.        - fake reverse map for the *server*
  34.        - fake forward map for the fake reversed name
  35.   4. You must fake your attack code to look like valid DNS records; this
  36.      is highly untrivial with modern versions of bind that reject all
  37.      domain names with invalid characters in them.
  38.   5. Only the part of the DNS name beyond 128 bytes can be exploited; that
  39.      must be made to align with stack frames and must contain appropriate
  40.      return addresses and jump addresses.  It has been shown that this can
  41.      generally be done, but the space and structural constraints here are
  42.      extremely tight compared to most instances of buffer overflow
  43.      exploits.
  44.   6. Since the client with Kerberos TGT passing is only used
  45.      interactively, the user will almost certainly notice that something
  46.      went wrong.  I don't think you can, within the structure and space
  47.      constraints, construct the code so that the user would not notice at
  48.      least the client crashing.
  49.   7. You cannot try again after a failed attack until the client again
  50.      tries to log into the same host.
  51.  
  52. This might yield an attack against the *client*.
  53.  
  54. I've fixed this in the source tree.
  55.  
  56. I'd like to thank Peter for reporting this.  A fix will be included in
  57. the next release (which I expect in about a week).
  58.  
  59. The patch for this problem is quote simple:
  60. - --- sshconnect.c.orig Thu Nov  5 02:09:55 1998
  61. +++ sshconnect.c        Thu Nov  5 02:10:53 1998
  62. @@ -1090,7 +1090,7 @@
  63.    krb5_data outbuf;
  64.    krb5_error_code r;
  65.    int type;
  66. - -  char server_name[128];
  67. +  char server_name[512];
  68.  
  69.    remotehost = (char *) get_canonical_hostname();
  70.    memset(&outbuf, 0 , sizeof(outbuf));
  71. @@ -1136,7 +1136,7 @@
  72.         principal and point it to clients realm. This way
  73.         we pass over a TGT of the clients realm. */
  74.  
  75. - -    sprintf(server_name,"host/%s@", remotehost);
  76. +    sprintf(server_name,"host/%.100s@", remotehost);
  77.      strncat(server_name,client->realm.data,client->realm.length);
  78.      krb5_parse_name(ssh_context,server_name, &server);
  79.      server->type = KRB5_NT_SRV_HST;
  80.  
  81. However, there are also a few other potential problems in the Kerberos
  82. code.  Special thanks to Barry Irwin <bvi@rucus.ru.ac.za> for pointing
  83. out one of them.  I'm not yet sure whether they are exploitable (we
  84. don't have Kerberos installed here, nor documentation for it, so I
  85. can't easily check; however, they might be more serious than the
  86. above).  I'd recommend everyone using ssh with Kerberos authentication
  87. compiled in to install the following full patch, just to make sure.
  88. In addition to the above, it explicitly restricts the length of
  89. various strings.  This also includes the above.
  90.  
  91.     Tatu
  92.  
  93. - --- sshconnect.c.orig Thu Nov  5 02:09:55 1998
  94. +++ sshconnect.c        Thu Nov  5 02:10:53 1998
  95. @@ -282,7 +282,7 @@
  96.  
  97.        /* Child.  Permanently give up superuser privileges. */
  98.        if (setuid(getuid()) < 0)
  99. - -     fatal("setuid: %s", strerror(errno));
  100. +       fatal("setuid: %.100s", strerror(errno));
  101.  
  102.        /* Redirect stdin and stdout. */
  103.        close(pin[1]);
  104. @@ -944,7 +944,7 @@
  105.    if (!ssh_context)
  106.      {
  107.        if ((r = krb5_init_context(&ssh_context)))
  108. - -     fatal("Kerberos V5: %s while initializing krb5.", error_message(r));
  109. +       fatal("Kerberos V5: %.100s while initializing krb5.", error_message(r));
  110.        krb5_init_ets(ssh_context);
  111.      }
  112.  
  113. @@ -959,14 +959,14 @@
  114.                                    "host", KRB5_NT_SRV_HST,
  115.                                    &creds.server)))
  116.      {
  117. - -      debug("Kerberos V5: error while constructing service name: %s.",
  118. +      debug("Kerberos V5: error while constructing service name: %.100s.",
  119.             error_message(r));
  120.        goto cleanup;
  121.      }
  122.    if ((r = krb5_cc_get_principal(ssh_context, ccache,
  123.                                  &creds.client)))
  124.      {
  125. - -      debug("Kerberos V5: failure on principal (%s).",
  126. +      debug("Kerberos V5: failure on principal (%.100s).",
  127.             error_message(r));
  128.        goto cleanup;
  129.      }
  130. @@ -975,7 +975,7 @@
  131.    if ((r = krb5_get_credentials(ssh_context, 0,
  132.                                 ccache, &creds, &new_creds)))
  133.      {
  134. - -      debug("Kerberos V5: failure on credentials(%s).",
  135. +      debug("Kerberos V5: failure on credentials(%.100s).",
  136.             error_message(r));
  137.        goto cleanup;
  138.      }
  139. @@ -987,7 +987,7 @@
  140.      {
  141.        if ((r = krb5_auth_con_init(ssh_context, &auth_context)))
  142.         {
  143. - -       debug("Kerberos V5: failed to init auth_context (%s)",
  144. +         debug("Kerberos V5: failed to init auth_context (%.100s)",
  145.                 error_message(r));
  146.           goto cleanup;
  147.          }
  148. @@ -998,7 +998,7 @@
  149.    if ((r = krb5_mk_req_extended(ssh_context, &auth_context, ap_opts,
  150.                                 0, new_creds, &auth)))
  151.      {
  152. - -      debug("Kerberos V5: failed krb5_mk_req_extended (%s)",
  153. +      debug("Kerberos V5: failed krb5_mk_req_extended (%.100s)",
  154.             error_message(r));
  155.        goto cleanup;
  156.      }
  157. @@ -1046,7 +1046,7 @@
  158.  
  159.        if (r = krb5_rd_rep(ssh_context, auth_context, &auth, &repl))
  160.         {
  161. - -       packet_disconnect("Kerberos V5 Authentication failed: %s",
  162. +         packet_disconnect("Kerberos V5 Authentication failed: %.100s",
  163.                             error_message(r));
  164.           goto cleanup;
  165.         }
  166. @@ -1090,7 +1090,7 @@
  167.    krb5_data outbuf;
  168.    krb5_error_code r;
  169.    int type;
  170. - -  char server_name[128];
  171. +  char server_name[512];
  172.  
  173.    remotehost = (char *) get_canonical_hostname();
  174.    memset(&outbuf, 0 , sizeof(outbuf));
  175. @@ -1100,14 +1100,14 @@
  176.    if (!ssh_context)
  177.      {
  178.        if ((r = krb5_init_context(&ssh_context)))
  179. - -     fatal("Kerberos V5: %s while initializing krb5.", error_message(r));
  180. +       fatal("Kerberos V5: %.100s while initializing krb5.", error_message(r));
  181.        krb5_init_ets(ssh_context);
  182.      }
  183.    if (!auth_context)
  184.      {
  185.        if ((r = krb5_auth_con_init(ssh_context, &auth_context)))
  186.         {
  187. - -       debug("Kerberos V5: failed to init auth_context (%s)",
  188. +         debug("Kerberos V5: failed to init auth_context (%.100s)",
  189.                 error_message(r));
  190.           return 0 ;
  191.          }
  192. @@ -1124,7 +1124,7 @@
  193.      if ((r = krb5_cc_get_principal(ssh_context, ccache,
  194.                                     &client)))
  195.        {
  196. - -        debug("Kerberos V5: failure on principal (%s)",
  197. +        debug("Kerberos V5: failure on principal (%.100s)",
  198.               error_message(r));
  199.          return 0 ;
  200.        }
  201. @@ -1136,7 +1136,7 @@
  202.         principal and point it to clients realm. This way
  203.         we pass over a TGT of the clients realm. */
  204.  
  205. - -    sprintf(server_name,"host/%s@", remotehost);
  206. +    sprintf(server_name,"host/%.100s@", remotehost);
  207.      strncat(server_name,client->realm.data,client->realm.length);
  208.      krb5_parse_name(ssh_context,server_name, &server);
  209.      server->type = KRB5_NT_SRV_HST;
  210. @@ -1145,7 +1145,7 @@
  211.      if ((r = krb5_fwd_tgt_creds(ssh_context, auth_context, 0, client,
  212.                                 server, ccache, 1, &outbuf)))
  213.        {
  214. - -     debug("Kerberos V5 krb5_fwd_tgt_creds failure (%s)",
  215. +       debug("Kerberos V5 krb5_fwd_tgt_creds failure (%.100s)",
  216.               error_message(r));
  217.         krb5_free_principal(ssh_context, client);
  218.          krb5_free_principal(ssh_context, server);
  219. @@ -1416,7 +1416,7 @@
  220.        error("Someone could be eavesdropping on you right now (man-in-the-middle attack)!");
  221.        error("It is also possible that the host key has just been changed.");
  222.        error("Please contact your system administrator.");
  223. - -      error("Add correct host key in %s to get rid of this message.",
  224. +      error("Add correct host key in %.100s to get rid of this message.",
  225.             options->user_hostfile);
  226.  
  227.        /* If strict host key checking is in use, the user will have to edit
  228. @@ -1589,7 +1589,7 @@
  229.    if (!ssh_context)
  230.      {
  231.        if ((problem = krb5_init_context(&ssh_context)))
  232. - -     fatal("Kerberos V5: %s while initializing krb5.",
  233. +       fatal("Kerberos V5: %.100s while initializing krb5.",
  234.               error_message(problem));
  235.        krb5_init_ets(ssh_context);
  236.      }
  237. @@ -1605,7 +1605,7 @@
  238.           if ((problem = krb5_cc_get_principal(ssh_context, ccache,
  239.                                                &client)))
  240.             {
  241. - -           debug("Kerberos V5: failure on principal (%s).",
  242. +             debug("Kerberos V5: failure on principal (%.100s).",
  243.                      error_message(problem));
  244.             }
  245.           else {
  246. - --- auth-kerberos.c.orig      Thu Nov  5 02:06:02 1998
  247. +++ auth-kerberos.c     Thu Nov  5 02:08:14 1998
  248. @@ -63,11 +63,11 @@
  249.           krb5_auth_con_free(ssh_context, auth_context);
  250.           auth_context = 0;
  251.         }
  252. - -      log_msg("Kerberos ticket authentication of user %s failed: %s",
  253. +      log_msg("Kerberos ticket authentication of user %.100s failed: %.100s",
  254.               server_user, error_message(problem));
  255.  
  256. - -      debug("Kerberos krb5_auth_con_genaddrs (%s).", error_message(problem));
  257. - -      packet_send_debug("Kerberos krb5_auth_con_genaddrs: %s",
  258. +      debug("Kerberos krb5_auth_con_genaddrs (%.100s).", error_message(problem));
  259. +      packet_send_debug("Kerberos krb5_auth_con_genaddrs: %.100s",
  260.                         error_message(problem));
  261.        return 0;
  262.      }
  263. @@ -80,11 +80,11 @@
  264.           krb5_auth_con_free(ssh_context, auth_context);
  265.           auth_context = 0;
  266.         }
  267. - -      log_msg("Kerberos ticket authentication of user %s failed: %s",
  268. +      log_msg("Kerberos ticket authentication of user %.100s failed: %.100s",
  269.               server_user, error_message(problem));
  270.  
  271. - -      debug("Kerberos V5 rd_req failed (%s).", error_message(problem));
  272. - -      packet_send_debug("Kerberos V5 krb5_rd_req: %s", error_message(problem));
  273. +      debug("Kerberos V5 rd_req failed (%.100s).", error_message(problem));
  274. +      packet_send_debug("Kerberos V5 krb5_rd_req: %.100s", error_message(problem));
  275.        return 0;
  276.      }
  277.  
  278. @@ -93,22 +93,22 @@
  279.    if (problem)
  280.      {
  281.        krb5_free_ticket(ssh_context, ticket);
  282. - -      log_msg("Kerberos ticket authentication of user %s failed: %s",
  283. +      log_msg("Kerberos ticket authentication of user %.100s failed: %.100s",
  284.               server_user, error_message(problem));
  285.  
  286. - -      debug("Kerberos krb5_unparse_name failed (%s).", error_message(problem));
  287. - -      packet_send_debug("Kerberos krb5_unparse_name: %s",
  288. +      debug("Kerberos krb5_unparse_name failed (%.100s).", error_message(problem));
  289. +      packet_send_debug("Kerberos krb5_unparse_name: %.100s",
  290.                         error_message(problem));
  291.        return 0;
  292.      }
  293.    if (strncmp(server, "host/", strlen("host/")))
  294.      {
  295.        krb5_free_ticket(ssh_context, ticket);
  296. - -      log_msg("Kerberos ticket authentication of user %s failed: invalid service name (%s)",
  297. +      log_msg("Kerberos ticket authentication of user %.100s failed: invalid service name (%.100s)",
  298.               server_user, server);
  299.  
  300. - -      debug("Kerberos invalid service name (%s).", server);
  301. - -      packet_send_debug("Kerberos invalid service name (%s).", server);
  302. +      debug("Kerberos invalid service name (%.100s).", server);
  303. +      packet_send_debug("Kerberos invalid service name (%.100s).", server);
  304.        krb5_xfree(server);
  305.        return 0;
  306.      }
  307. @@ -122,11 +122,11 @@
  308.  
  309.    if (problem)
  310.      {
  311. - -      log_msg("Kerberos ticket authentication of user %s failed: %s",
  312. +      log_msg("Kerberos ticket authentication of user %.100s failed: %.100s",
  313.               server_user, error_message(problem));
  314. - -      debug("Kerberos krb5_copy_principal failed (%s).",
  315. +      debug("Kerberos krb5_copy_principal failed (%.100s).",
  316.             error_message(problem));
  317. - -      packet_send_debug("Kerberos krb5_copy_principal: %s",
  318. +      packet_send_debug("Kerberos krb5_copy_principal: %.100s",
  319.                         error_message(problem));
  320.        return 0;
  321.      }
  322. @@ -135,11 +135,11 @@
  323.    /* Make the reply - so that mutual authentication can be done */
  324.    if ((problem = krb5_mk_rep(ssh_context, auth_context, &reply)))
  325.      {
  326. - -      log_msg("Kerberos ticket authentication of user %s failed: %s",
  327. +      log_msg("Kerberos ticket authentication of user %.100s failed: %.100s",
  328.               server_user, error_message(problem));
  329. - -      debug("Kerberos krb5_mk_rep failed (%s).",
  330. +      debug("Kerberos krb5_mk_rep failed (%.100s).",
  331.             error_message(problem));
  332. - -      packet_send_debug("Kerberos krb5_mk_rep failed: %s",
  333. +      packet_send_debug("Kerberos krb5_mk_rep failed: %.100s",
  334.                         error_message(problem));
  335.        return 0;
  336.      }
  337. @@ -160,7 +160,7 @@
  338.  {
  339.    krb5_creds **creds;
  340.    krb5_error_code retval;
  341. - -  static char ccname[128];
  342. +  static char ccname[512];
  343.    krb5_ccache ccache = NULL;
  344.    struct passwd *pwd;
  345.    extern char *ticket;
  346. @@ -208,9 +208,9 @@
  347.  
  348.    if (retval = krb5_rd_cred(ssh_context, auth_context, krb5data, &creds, NULL))
  349.      {
  350. - -      log_msg("Kerberos V5 tgt rejected for user %.100s : %s", server_user,
  351. +      log_msg("Kerberos V5 tgt rejected for user %.100s : %.100s", server_user,
  352.               error_message(retval));
  353. - -      packet_send_debug("Kerberos V5 tgt rejected for %.100s : %s",
  354. +      packet_send_debug("Kerberos V5 tgt rejected for %.100s : %.100s",
  355.                         server_user,
  356.                         error_message(retval));
  357.        packet_start(SSH_SMSG_FAILURE);
  358. @@ -234,7 +234,7 @@
  359.      goto errout;
  360.  
  361.    ticket = xmalloc(strlen(ccname) + 1);
  362. - -  (void) sprintf(ticket, "%s", ccname);
  363. +  (void) sprintf(ticket, "%.100s", ccname);
  364.  
  365.    /* Successful */
  366.    packet_start(SSH_SMSG_SUCCESS);
  367. @@ -244,9 +244,9 @@
  368.  
  369.  errout:
  370.    krb5_free_tgt_creds(ssh_context, creds);
  371. - -  log_msg("Kerberos V5 tgt rejected for user %.100s :%s", server_user,
  372. +  log_msg("Kerberos V5 tgt rejected for user %.100s :%.100s", server_user,
  373.           error_message(retval));
  374. - -  packet_send_debug("Kerberos V5 tgt rejected for %.100s : %s", server_user,
  375. +  packet_send_debug("Kerberos V5 tgt rejected for %.100s : %.100s", server_user,
  376.                     error_message(retval));
  377.    packet_start(SSH_SMSG_FAILURE);
  378.    packet_send();
  379.  
  380.  
  381. - --
  382. SSH Communications Security           http://www.ssh.fi/
  383. SSH IPSEC Toolkit                     http://www.ipsec.com/
  384. Free Unix SSH                         http://www.ssh.fi/sshprotocols2/
  385.  
  386. -----BEGIN PGP SIGNATURE-----
  387. Version: 2.6.3i
  388. Charset: noconv
  389.  
  390. iQCVAwUBNkDyOakZxfGWH0o1AQGYOQP/bUNnE/ZpSQqWVc0ngxLG50+CtyksugLJ
  391. wD0X2yIoc8jmY+UNPL7weQatgv6CmUUoWWpLctzKr8A6G/HrD2sh0OHPBwhIxg1i
  392. 3mPj7WrcIX9g/K5LaEksiZ0vv4h/gvSJty5y+wRiu0QLRmuAy91CyaKTV7Sab0YT
  393. /W/s1NazNIg=
  394. =iABB
  395. -----END PGP SIGNATURE-----
  396.  
  397. ----------------------------------------------------------------
  398.  
  399. Date: Wed, 4 Nov 1998 13:50:49 +0100
  400. From: Joel Eriksson <na98jen@STUDENT.HIG.SE>
  401. To: BUGTRAQ@netspace.org
  402. Subject: Re: ssh-1.2.26 buffer overflow patch
  403.  
  404. On Sun, 1 Nov 1998, Andy Church wrote:
  405.  
  406. > [login.c:538]
  407. > log_msg("putuserattr S_LASTTTY %.900s failed: %.100s", /*...*/);
  408. >
  409. > [log-server.c:130]
  410. > void log_msg(const char *fmt, ...)
  411. > {
  412. >   char buf[1024];
  413. >   /*...*/
  414. >   vsprintf(buf, fmt, args);
  415. >   /*...*/
  416. > }
  417. >
  418. > Granted, I haven't checked whether this is exploitable, but I could never
  419. > call that secure.  (Count the bytes.)
  420.  
  421. I don't think there's any reason of not using snprintf, but, in this
  422. particular case they seem to be rather well protected anyway. I have
  423. noticed the line you mention above, and a few others that woke my
  424. interest. But since the whole log_msg-call reads:
  425.  
  426.         log_msg("putuserattr S_LASTTTY %.900s failed: %.100s",
  427.             ttyname, strerror(errno));
  428.  
  429. It means that strerror() must return a string with a length around 100
  430. bytes *and* ttyname should be around 900 bytes, I have not checked if that
  431. is possible, but I certainly don't think so.
  432.  
  433. There are a few other places that made me wonder, like when lines like:
  434.  
  435.           log_msg("Connection for %.200s not allowed from %s\n",
  436.                   user, get_canonical_hostname());
  437.  
  438. were used, when tracing back to get_canonical_hostname() and then back to
  439. get_remote_hostname() it seems as the name is limited to 255 bytes anyway.
  440.  
  441. In auth-kerberos.c there are frequent use of %s in the log_msg()-calls and
  442. it sure looks dangerous.. In the places where I have tracked the origin of
  443. the strings supplied their length have been checked *before* log_msg() is
  444. used. I think that IBM's statements about not having found any exploitable
  445. overflows in ssh-1.2.26 can probably be trusted, but since the functions
  446. for logging uses vsprintf to a buffer on 1024 bytes it certainly is very
  447. possible to introduce a severe securityhole if not being careful. It
  448. certainly seems a lot easier to me to use vsnprintf's instead and limit
  449. the length to 1023 bytes instead of having to track back every use of the
  450. functions to be certain no securityproblem exists.
  451.  
  452. >   --Andy Church                    | If Bell Atlantic really is the heart
  453. >     achurch@dragonfire.net         | of communication, then it desperately
  454. >     http://achurch.dragonfire.net/ | needs a quadruple bypass.
  455.  
  456. /Joel Eriksson
  457.