Сообщение о эксплоите находиться <a href='http://www.xakep.ru/post/22731/default.htm' target='_blank'>здесь</a> (в случае пропажи данного сообщения просьба сообщить - скрин есть)
его текст:
<!--QuoteBegin--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>Цитата </td></tr><tr><td id='QUOTE'><!--QuoteEBegin-->
Firebird - СУБД для Windows, Linux, Unix. Вышел эксплоит, который позволяет выполнять произвольные команды.
(ссылка на эксплоит)
<!--QuoteEnd--></td></tr></table><div class='postcolor'><!--QuoteEEnd-->
Довольно странно, что не указано для каких версия подходит данный хак (это слово мне более близко) т.к. с переходом Firebird на версию 1,5 код был полностью портирован на С++ и было не мало времени уделено исправлению имеющихся ошибок.(и создание новых
)чтож... поглядим сам <a href='http://www1.xakep.ru/post/22731/exploit.txt' target='_blank'>эксплоит</a>...
(см. приложенный файл)
И не смотря на мое полное не знаение "перловой каши" можно разглядеть уже на второй строчке:
<!--QuoteBegin--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>Цитата </td></tr><tr><td id='QUOTE'><!--QuoteEBegin-->
#!/usr/bin/perl
# Priv8security com remote exploit for Borland Interbase 7.1 SP 2 and lower
# Public Version!!!
<!--QuoteEnd--></td></tr></table><div class='postcolor'><!--QuoteEEnd-->
Странно... вроде как эксплоит для Firebird а не для Interbase... как известно их дороги разошлись ещё с версии 6.0 и Firebird уже пережил несколько релизов...
Ну это всего коммент... дальше может всё оказаться не так...
<!--QuoteBegin--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>Цитата </td></tr><tr><td id='QUOTE'><!--QuoteEBegin-->
# -=[ Priv8security.com InterBase Server 7.1 SP2 and lower remote exploit ]=-
#
# [+] Using target 0: Linux Interbase 7.1 SP 2
# [+] Sending first buffer... d0ne!
<!--QuoteEnd--></td></tr></table><div class='postcolor'><!--QuoteEEnd-->
опять.. страно..
<!--QuoteBegin--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>Цитата </td></tr><tr><td id='QUOTE'><!--QuoteEBegin-->
if (defined($args{'p'})) { $port = $args{'p'}; }else{$port = 3050;}
<!--QuoteEnd--></td></tr></table><div class='postcolor'><!--QuoteEEnd-->
Просто запоминаем пока
<!--QuoteBegin--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>Цитата </td></tr><tr><td id='QUOTE'><!--QuoteEBegin-->
print "\n-=[ Priv8security.com InterBase Server 7.1 SP2 and lower remote exploit ]=-\n\n";<!--QuoteEnd--></td></tr></table><div class='postcolor'><!--QuoteEEnd-->
и так произходит до конца скрипта...
Очень странно как-же так Aviram Jenik который нашел данный баг и мог не указать, то что этот скрипт ломает и Firebird? Ведь это намного более пополярный и распростроненный сервер...
Исходя из сказанного можно понять:
1) С большОй вероятность хак работает только для Interbase т.к. Firebird проект open source да и релизы были очень давно... не могли столько времени пропускать этот баг
2) www.xakep.ru в связи с нарастающей популярностью firebird решил припугнуть народ попутно пытаясь не правдами поднять свой гниющий проект..
3) админы Firebird могут спать спокойно
4) админы Interbase "7.1 SP2 and lower", даже если верить тому, что данный эксплоит действительно имеет место быть - спокойно меняют порт подключения на что-нить из района 16342 (главное чтоб больше не кем не юзался)... и никому не говоря в программах - пусть хакер париться и подбирает пароль брутфорсом начиная с 3050 - тут уж любой даже самый тупой файрвалл его засечет и отрубит ... (о чем думаю у каждого нормального админа есть уведомление) т.к. это есть скан на порты ( первый класс начальной школы
)...С радостью слушаю Ваши мысли
.
</a>
