####################################################################### Luigi Auriemma Application: Veritas Storage Foundation Administrator Service http://www.symantec.com/business/storage-foundation Versions: <= 5.1 Platforms: Solaris, AIX, HP-UX, Linux, Windows Bug: integer overflow in vxsvc Exploitation: remote, versus server Date: probably found 12 Nov 2010 Author: Luigi Auriemma e-mail: aluigi@autistici.org web: aluigi.org ####################################################################### 1) Introduction 2) Bug 3) The Code 4) Fix ####################################################################### =============== 1) Introduction =============== ??? ####################################################################### ====== 2) Bug ====== VERITAS Enterprise Administrator (vxsvc) is a service running on ports 2148 (udp/tcp) and 3207 (udp). The problem affecting the part of the server running on tcp port 2148 is an integer overflow in the function vxveautil.value_binary_unpack during the handling of the ascii strings (opcode 6) where the 32 bit field supplied by the attacker is used for allocating a destination buffer by adding an additional byte to its value (0xffffffff + 1). ####################################################################### =========== 3) The Code =========== http://aluigi.org/poc/veritas_3.zip nc SERVER 2148 < veritas_3.dat ####################################################################### ====== 4) Fix ====== http://www.zerodayinitiative.com/advisories/ZDI-11-264/ #######################################################################