Re: (linux-br) Fw: SECURITY WARNING - possible email attack

Tue, 18 Dec 2001 15:15:38 -0800 

Edgar Wesley Braga Mariano wrote:
> 
> Por favor, algu�m sabe o que � isso? Recebi o e-mail abaixo do Procmail
> Security daemon. Deve me preocupar??? Se devo me preocupar, com o que �?

Neste caso n�o. Sem querer, acabamos deixando o Subject crescer demais.
Dei uma capada nele posteriormente.

O que acontece � que um dos ataques mais comuns no Linux no passado era
o buffer overflow. Isto acontecia mandando um "peda�o de dados" maior do
que o programa alvo foi programado para ag�entar.

Neste caso espec�fico, um leitor de email (esqueci qual) tinha reservado
somente, por exemplo, 128 caracteres para armazenar na mem�ria o Subject
de um email. Algu�m sacana poderia ant�o enviar um email com um subject
com 129 ou 256 caracteres no Subject.

O pobre do leitor copiaria os 256 caracteres, 128 no lugar certo, e os
outros 128 logo ap�s, com certeza destruindo dados que estariam
guardados depois, ou invadindo outro segmento de mem�ria e causando um
segmantation fault, dando um core dump e abortando o programa... em modo
ROOT!!! 8-P

L�gico que come�aram a monitorar este acontecimento... Isto � um exemplo
de ataque local.

� por isto que o Security Daemon berrou quando topou com este Subject.


> ----- Original Message -----
> From: "Procmail Security daemon" <[EMAIL PROTECTED]>
> To: <[EMAIL PROTECTED]>
> Sent: Friday, December 14, 2001 9:44 PM
> Subject: SECURITY WARNING - possible email attack
> 
> > Trapped excessively long header:
> > Subject: (linux-br)
> =?ISO-8859-1?Q?ADSL_ou_ISDN_=3F=3F=3F_=28que_era=3A_=28linux-?=
> =?ISO-8859-1?Q?br=29_Telecomunica=E7=F5es_e__Exclus=E3o_Digital?=
> =?ISO-8859-1?Q?_=28era=3A_Um_novo_empacotamento_=28era=3A__?=
> =?ISO-8859-1?Q?RPM_x_DEB_x_TGZ_=28que_por_sua_vez_era?=
> =?ISO-8859-1?Q?=3A_Distros=29=29=29=29?=

-- 
 []s,
        Pink                     ------------------------------------
   (Lisias Toledo)              |       ECHELON AT MY BALLS !!       |
Manaus/Amazonas/Brasil          | Will My Freedom Be Forever Denied? | 
 --------------------------------------------------------------------
    /"\  CAMPANHA DA FITA ASCII - CONTRA MAIL HTML
    \ /  ASCII RIBBON CAMPAIGN - AGAINST HTML MAIL
     X
    / \  Movimento Pr�-acentua��o:
   /   \ Use "MIME, quoted-printable, ISO-8859-1" em seu e-mailer.



Assinantes em 18/12/2001: 2343
Mensagens recebidas desde 07/01/1999: 146949
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
            mailto:[EMAIL PROTECTED]

Responder a