####################################################################### Luigi Auriemma Applicazione: Mtp-Target http://www.mtp-target.org Versioni: <= 1.2.2 Piattaforme: Windows e Linux Bugs: A] clients format string B] server crash Exploitation: remoto, contro server e clients Data: 01 May 2005 Autore: Luigi Auriemma e-mail: aluigi@autistici.org web: aluigi.org ####################################################################### 1) Introduzione 2) Bugs 3) The Code 4) Fix ####################################################################### =============== 1) Introduzione =============== Mtp-Target e' un divertente clone open source e multipiattaforma del minigioco Monkey Target ed utilizza la libreria NeL (http://www.nevrax.org/tiki-index.php?page=NeL). ####################################################################### ======= 2) Bugs ======= ------------------------ A] clients format string ------------------------ I clients del gioco sono affetti da un format string durante la visualizzazione dei messaggi ricevuti dagli altri utenti o qualsiasi altro testo visibile nella console in alto. Con un singolo messaggio un attacker e' capace di sfruttare il bug su tutti i clients connessi ad un server. --------------- B] server crash --------------- Questo bug e' localizzato nella libreria NeL ma dopo alcuni tests eseguiti dagli sviluppatori di NeL sembra che solo Mtp-Target sia vulnerabile (probabilmente perche' le versioni pre-compilate utilizzano vecchie versioni di tale libreria, ma il mistero non e' stato risolto). Ad ogni modo c'e' un confronto con segno che verifica se l'ammontare di memoria da allocare (un parametro passato dal client) e' maggiore di 1000000 bytes. Se un attacker passa un valore negativo il controllo viene bypassato ed il sistema prova ad allocare questa enorme quantita' di memoria attraverso una chiamata a STLport. Il risultato e' un eccezione che termina immediatamente il server. ####################################################################### =========== 3) The Code =========== http://aluigi.org/poc/mtpbugs.zip ####################################################################### ====== 4) Fix ====== No fix. Ero in contatto con gli sviluppatori del gioco (che hanno anche un server di gioco pubblico) ma poi non ho ricevuto piu' risposte da loro, quindi non ho idea se e quando verra' rilasciata un patch. #######################################################################