2003.10.13 に発見され修正された。影響するバージョンは 2.10 〜 2.10.3p3 です。修正済みバージョンは irc2.10.3p4 です。 しかし、irc2.10.3p4 も公開されましたが、別のバグが発見されすぐに公開が停止、irc2.10.3p5 が公開となりました。また、一般向けには公開されていませんが、一般公開前の irc2.11.0a1 でも影響すること確認されました。
一定の法則で1つのJOINコマンドで同時に JOIN したときに発生、ircd のプロセスが死ぬことを確認されました。
ex: JOIN !50byteA,!50byteB,…,!50byteN
また、' ./common/struct_def.h ' の ' #define CHANNELLEN 50 ' および、' #define BUFSIZE 512 ' を修正したところで、結果は変わりません。
この ' irc2.10.3p3 and maybe below remote DOS exploit tool ' は IPv4 にしか対応していません。 その為、irc.*.wide.ad.jp / irc.dti.ne.jp / irc.huie.hokudai.ac.jp / irc.media.kyoto-u.ac.jp が狙われましたが、 irc6.nara.wide.ad.jp は 殆ど被害が有りませんでした。しかし、ツールを使わず、 telnet で同様のことを行えば、直接落とすことが可能となりました。(尚、全て修正されてからこのドキュメントは公開されています。)
Patch: The patch is also avialable for download from: http://akson.sgh.waw.pl/~chopin/ircd/patches/m_join.diff
--- ../../cvs/irc2.10.3/ircd/channel.c Fri Oct 10 22:34:05 2003 +++ channel.c Sat Oct 11 00:03:40 2003 @@ -2001,7 +2001,7 @@ Reg Link *lp; Reg aChannel *chptr; Reg char *name, *key = NULL; - int i, flags = 0; + int i, tmplen, flags = 0; char *p = NULL, *p2 = NULL, *s, chop[5]; if (parc < 2 || *parv[1] == '\0') @@ -2150,10 +2150,20 @@ parv[0]), name); continue; } + tmplen = strlen(name); + if (i + tmplen + 2 /* comma and \0 */ + >= sizeof(jbuf) ) + { + + break; + + } if (*jbuf) - (void)strcat(jbuf, ","); - (void)strncat(jbuf, name, sizeof(jbuf) - i - 1); - i += strlen(name)+1; + { + jbuf[i++] = ','; + } + (void)strcpy(jbuf + i, name); + i += tmplen; } p = NULL; @@ -2305,6 +2315,16 @@ parv[0], name, chop); else if (*chptr->chname != '&') { + /* ":" (1) "nick" (NICKLEN) " JOIN :" (7), comma (1) + ** possible chop (4), ending \r\n\0 (3) = 16 + ** must fit in the cbuf as well! --B. */ + if (strlen(cbuf) + strlen(name) + NICKLEN + 16 + >= sizeof(cbuf)) + { + sendto_serv_butone(cptr, ":%s JOIN :%s", + parv[0], cbuf); + cbuf[0] = '\0'; + } if (*cbuf) strcat(cbuf, ","); strcat(cbuf, name);
実際に公開された exploitツールを用い、ローカルサーバで実験してみました。
USER fbmbgfith localhost localhost mauer NICK fbmbgfith - snip - ← motd 等が表示される JOIN !#fxflmlkkbicftrlpsvuhmboqpryvbsfgrkrevfoyntejlsygov,!#qeafurxv … (以下略) :fbmbgfith!~fbmbgfith@localhost JOIN :!0CH13fxflmlkkbicftrlpsvuhmboqpryvbsfgrkrevfoyntej :fbmbgfith!~fbmbgfith@localhost JOIN :!0CH13qeafurxv … (以下略) - snip - ← JOIN した数のチャンネルだけ表示され、途中で ircd 落ちる。
すなわち、同等のことを、telnet でやればサーバを落とすことが可能となる。
また、' irc2.10.3p3 and maybe below remote DOS exploit tool 'を使用してみた感じは以下の通り。
tomo@VM-Ayu:~/ircd$ ./a.out -h 127.0.0.1 -p 6667 irc2.10.3p3 remote dos exploit delivered by millhouse ----------------------------------------------------- [x] connected to 127.0.0.1:6667 .. [x] trying to logon with nick gpiwlrujl .. [x] we're logged on, sending evil data .. [x] exploit worked, ircd unreachable ..
safe channel を使っているところがポイントです。 実際、safe channel を使用すると、'!XXXXXほげ' な感じになりますが、そのID部分(5byte分)が増えることから起因しています。
この問題の原因はバッファオーバーランによる脆弱性で、channel.c に含まれている m_join() 関数に存在していました。この関数では、クライアントから送信された JOIN 先チャンネルのリストを別のバッファにコピーする処理を行いますが、この際にコピー先バッファのサイズのチェックを行っていませんでした。このため、同時に JOIN するチャンネル名の長さとその数によっては、文字列バッファコピー処理中にプロセスのメモリ空間が破壊され、IRCサーバがクラッシュする原因となっていたのです。
m_join.diff パッチはこの問題を修正するものです。このパッチを適用すると、同時 JOIN を試みた場合に一部チャンネルへの JOIN が暗黙的に取り消されることがありますが、これはあくまでも作為的に長い JOINコマンド を送信したときのみに発生するものであり実害はないでしょう。
http://www.securiteam.com/exploits/6Q00F0U8KM.html
http://www.security-corporation.com/exploits-20031013-000.html
http://www.securitylab.ru/_exploits/ircd.c.txt