2003.10.13 に発見され修正された。影響するバージョンは 2.10 〜 2.10.3p3 です。修正済みバージョンは irc2.10.3p4 です。 しかし、irc2.10.3p4 も公開されましたが、別のバグが発見されすぐに公開が停止、irc2.10.3p5 が公開となりました。また、一般向けには公開されていませんが、一般公開前の irc2.11.0a1 でも影響すること確認されました。
一定の法則で1つのJOINコマンドで同時に JOIN したときに発生、ircd のプロセスが死ぬことを確認されました。
ex: JOIN !50byteA,!50byteB,…,!50byteN
また、' ./common/struct_def.h ' の ' #define CHANNELLEN 50 ' および、' #define BUFSIZE 512 ' を修正したところで、結果は変わりません。
この ' irc2.10.3p3 and maybe below remote DOS exploit tool ' は IPv4 にしか対応していません。 その為、irc.*.wide.ad.jp / irc.dti.ne.jp / irc.huie.hokudai.ac.jp / irc.media.kyoto-u.ac.jp が狙われましたが、 irc6.nara.wide.ad.jp は 殆ど被害が有りませんでした。しかし、ツールを使わず、 telnet で同様のことを行えば、直接落とすことが可能となりました。(尚、全て修正されてからこのドキュメントは公開されています。)
Patch: The patch is also avialable for download from: http://akson.sgh.waw.pl/~chopin/ircd/patches/m_join.diff
--- ../../cvs/irc2.10.3/ircd/channel.c Fri Oct 10 22:34:05 2003
+++ channel.c Sat Oct 11 00:03:40 2003
@@ -2001,7 +2001,7 @@
Reg Link *lp;
Reg aChannel *chptr;
Reg char *name, *key = NULL;
- int i, flags = 0;
+ int i, tmplen, flags = 0;
char *p = NULL, *p2 = NULL, *s, chop[5];
if (parc < 2 || *parv[1] == '\0')
@@ -2150,10 +2150,20 @@
parv[0]), name);
continue;
}
+ tmplen = strlen(name);
+ if (i + tmplen + 2 /* comma and \0 */
+ >= sizeof(jbuf) )
+ {
+
+ break;
+
+ }
if (*jbuf)
- (void)strcat(jbuf, ",");
- (void)strncat(jbuf, name, sizeof(jbuf) - i - 1);
- i += strlen(name)+1;
+ {
+ jbuf[i++] = ',';
+ }
+ (void)strcpy(jbuf + i, name);
+ i += tmplen;
}
p = NULL;
@@ -2305,6 +2315,16 @@
parv[0], name, chop);
else if (*chptr->chname != '&')
{
+ /* ":" (1) "nick" (NICKLEN) " JOIN :" (7), comma (1)
+ ** possible chop (4), ending \r\n\0 (3) = 16
+ ** must fit in the cbuf as well! --B. */
+ if (strlen(cbuf) + strlen(name) + NICKLEN + 16
+ >= sizeof(cbuf))
+ {
+ sendto_serv_butone(cptr, ":%s JOIN :%s",
+ parv[0], cbuf);
+ cbuf[0] = '\0';
+ }
if (*cbuf)
strcat(cbuf, ",");
strcat(cbuf, name);
実際に公開された exploitツールを用い、ローカルサーバで実験してみました。
USER fbmbgfith localhost localhost mauer NICK fbmbgfith - snip - ← motd 等が表示される JOIN !#fxflmlkkbicftrlpsvuhmboqpryvbsfgrkrevfoyntejlsygov,!#qeafurxv … (以下略) :fbmbgfith!~fbmbgfith@localhost JOIN :!0CH13fxflmlkkbicftrlpsvuhmboqpryvbsfgrkrevfoyntej :fbmbgfith!~fbmbgfith@localhost JOIN :!0CH13qeafurxv … (以下略) - snip - ← JOIN した数のチャンネルだけ表示され、途中で ircd 落ちる。
すなわち、同等のことを、telnet でやればサーバを落とすことが可能となる。
また、' irc2.10.3p3 and maybe below remote DOS exploit tool 'を使用してみた感じは以下の通り。
tomo@VM-Ayu:~/ircd$ ./a.out -h 127.0.0.1 -p 6667 irc2.10.3p3 remote dos exploit delivered by millhouse ----------------------------------------------------- [x] connected to 127.0.0.1:6667 .. [x] trying to logon with nick gpiwlrujl .. [x] we're logged on, sending evil data .. [x] exploit worked, ircd unreachable ..
safe channel を使っているところがポイントです。 実際、safe channel を使用すると、'!XXXXXほげ' な感じになりますが、そのID部分(5byte分)が増えることから起因しています。
この問題の原因はバッファオーバーランによる脆弱性で、channel.c に含まれている m_join() 関数に存在していました。この関数では、クライアントから送信された JOIN 先チャンネルのリストを別のバッファにコピーする処理を行いますが、この際にコピー先バッファのサイズのチェックを行っていませんでした。このため、同時に JOIN するチャンネル名の長さとその数によっては、文字列バッファコピー処理中にプロセスのメモリ空間が破壊され、IRCサーバがクラッシュする原因となっていたのです。
m_join.diff パッチはこの問題を修正するものです。このパッチを適用すると、同時 JOIN を試みた場合に一部チャンネルへの JOIN が暗黙的に取り消されることがありますが、これはあくまでも作為的に長い JOINコマンド を送信したときのみに発生するものであり実害はないでしょう。
http://www.securiteam.com/exploits/6Q00F0U8KM.html
http://www.security-corporation.com/exploits-20031013-000.html
http://www.securitylab.ru/_exploits/ircd.c.txt