The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.03.2017 09:59  Раскрыты подробности о root-уязвимости в ядре Linux, атакованной на Pwn2Own

Опубликованы сведения о 0-day уязвимости в ядре Linux (CVE-2017-7184), которая была использована на соревновании Pwn2Own 2017 для демонстрации атаки на Ubuntu Linux, позволившей локальному пользователю выполнить код с правами root.

Уязвимость вызвана ошибкой во фреймворке преобразования сетевых пакетов XFRM, применяемом для реализации IPsec. В функции xfrm_replay_verify_len(), вызываемой из xfrm_new_ae(), не выполнялась проверка заданного пользователем параметра replay_window, записываемого в буфер состояний. Манипулируя содержимым, связанным с данным параметром, атакующий может организовать запись и чтение данных в областях памяти ядра за пределами выделенного буфера.

Несмотря на то, что эксплуатация была продемонстрирована в Ubuntu, проблема не специфична для данного дистрибутива и проявляется в любых других системах на базе ядра Linux. Как и в нескольких предыдущих root-уязвимостях в ядре, проблема может быть эксплуатирована только при включении пространств имён для идентификаторов пользователей (user namespaces). Например, пакеты с ядром для Ubuntu и Fedora уязвимы по умолчанию, а ядро Debian и RHEL/CentOS 7 может быть атаковано только после явной активации поддержки "user namespaces" (sysctl kernel.unprivileged_userns_clone=1). Атака также затруднена на старые системы с версиями ядра меньше 3.9 из-за отсутствия в них поддержки "user namespaces".

При проведении атаки "user namespaces" используется для получения обычным пользователем прав CAP_NET_ADMIN, необходимых для настройки параметров XFRM. Так как создаваемое через "user namespaces" изолированное окружение и основная система обслуживаются одним ядром Linux, то эксплуатация уязвимости в ядре из контейнера позволяет обойти ограничения контейнерной изоляции и получить привилегированный доступ к основной системе.

Для ядра Linux исправление доступно в виде патчей. Обновления пакетов пока выпущены только для Ubuntu, openSUSE, SUSE Linux Enterprise 12. Проблема остаётся неисправленной в Fedora, Debian и CentOS/RHEL 7. Уязвимость не затрагивает SLE 11, RHEL 5 и RHEL 6.

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: На соревновании Pwn2Own 2017 продемонстрированы взломы Ubuntu и Firefox
  3. OpenNews: Уязвимость в ядре Linux, позволяющая выйти из изолированного контейнера
  4. OpenNews: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнера
  5. OpenNews: Локальная root-уязвимость в ядре Linux (af_packet.c )
  6. OpenNews: Локальная root-уязвимость в ядре Linux (OverlayFS)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: linux, kernel
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, grsec, 10:30, 30/03/2017 [ответить] [смотреть все]
  • +/
    > user namespaces

    Уже в который раз.

     
     
  • 2.3, Нанобот, 11:01, 30/03/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    вообще-то баг не в user namespaces, а в ipsec
     
     
  • 3.4, анон, 11:06, 30/03/2017 [^] [ответить] [смотреть все]
  • +5 +/
    Позволяющий руту получить права рута. Отличненько.
     
     
  • 4.6, Аноним, 11:14, 30/03/2017 [^] [ответить] [смотреть все]
  • +3 +/
    Полагаю, что не обязательно руту, а CAP_NET_ADMIN.
     
  • 3.5, Аноним, 11:11, 30/03/2017 [^] [ответить] [смотреть все]
  • –4 +/
    Если фича увеличивает область атаки на порядок, не является ли она сама уязвим... весь текст скрыт [показать]
     
     
  • 4.7, Аноним, 11:15, 30/03/2017 [^] [ответить] [смотреть все]  
  • +25 +/
    > Если "фича" увеличивает область атаки на порядок, не является ли она сама уязвимостью?

    Предлагаю удалить из ядра Linux сетевой стек. Во избежание.

     
     
  • 5.12, Аноним, 11:54, 30/03/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Удалять не стоит А вот давать кому попало CAP_NET_ADMIN 173 8212 глупо Но... весь текст скрыт [показать]
     
     
  • 6.15, Аноним, 12:20, 30/03/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    А зачем джанге и вордпрессу нет_админ Они там интерфейсы конфигурируют Или ipt... весь текст скрыт [показать]
     
     
  • 7.16, Аноним, 12:35, 30/03/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    А нахрен вообще нужны user namespaces? Мне тоже непонятно.
     
     
  • 8.23, XXXasd, 14:42, 30/03/2017 [^] [ответить] [смотреть все]  
  • +/
    как минимум хотя бы для того чтобы любая пользовательская программа могла бы сн... весь текст скрыт [показать]
     
  • 8.27, Аноним, 16:58, 30/03/2017 [^] [ответить] [смотреть все]  
  • +/
    А вы хотели бы, чтобы и для контейнеров, и для основной системы было одно и то ж... весь текст скрыт [показать]
     
  • 4.19, Нанобот, 13:08, 30/03/2017 [^] [ответить] [смотреть все]  
  • +/
    нет, не является ... весь текст скрыт [показать]
     
  • 4.24, пох, 16:14, 30/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    контейнеризация, которой слепо доверяют в качестве единственной меры безопасност... весь текст скрыт [показать]
     
     
  • 5.26, Michael Shigorin, 16:38, 30/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    CODE https lists altlinux org pipermail sisyphus 2003-June 243147 html ... весь текст скрыт [показать]
     
  • 2.32, pavlinux, 01:30, 31/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В который раз? Оно только год,полтора как  из EXPEREMENTAL вылезло
     
  • 1.14, Аноним, 12:18, 30/03/2017 [ответить] [смотреть все]  
  • +/
    У рута затруднений не возникнет Но вот только зачем ему это ... весь текст скрыт [показать]
     
     
  • 2.25, пох, 16:14, 30/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    из user namespace вылезать, разумеется Пробив днищ э, простите, контейнер ... весь текст скрыт [показать] [показать ветку]
     
  • 1.17, zfs, 13:02, 30/03/2017 [ответить] [смотреть все]  
  • +/
    > ядро Debian и RHEL/CentOS 7 может быть атаковано только после явной активации поддержки "user namespaces" (sysctl kernel.unprivileged_userns_clone=1).
    >...
    > Проблема остаётся неисправленной в Fedora, Debian и CentOS/RHEL 7

    # lsb_release -a
    LSB Version: :core-4.1-amd64:core-4.1-noarch:cxx-4.1-amd64:cxx-4.1-noarch:desktop-4.1-amd64:desktop-4.1-noarch:languages-4.1-amd64:languages-4.1-noarch:printing-4.1-amd64:printing-4.1-noarch
    Distributor ID: CentOS
    Description: CentOS Linux release 7.3.1611 (Core)
    Release: 7.3.1611
    Codename: Core
    # uname -a
    Linux gw 3.10.0-514.10.2.el7.x86_64 #1 SMP Fri Mar 3 00:04:05 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
    # sysctl -a|grep userns

    Но
    # lxc-checkconfig |grep -i user
    User namespace: enabled

    Т.е. в системе напрочь отсутствует /proc/sys/kernel/unprivileged_userns_clone. Но LXC работает.
    Зафиксили уже или я что-то не так понял?

     
     
  • 2.20, Аноним, 13:10, 30/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    unprivileged_userns_clone позволяет любому пользователю nobody и т п создать ... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, Michael Shigorin, 14:21, 30/03/2017 [ответить] [смотреть все]  
  • +1 +/
    А, так вот о чём пару дней тому намёкивали.
     
  • 1.28, zanswer CCNA RS, 17:29, 30/03/2017 [ответить] [смотреть все]  
  • +/
    Уязвимость в функции реализующей IPSec Anti-replay механизм, я правильно понял?
     
  • 1.29, Анонимм, 18:15, 30/03/2017 [ответить] [смотреть все]  
  • –2 +/
    Неплохая очередная причина вынести сетку в отдельное адресное пространство?
     
  • 1.31, pavlinux, 01:28, 31/03/2017 [ответить] [смотреть все]  
  • –2 +/
    Вот почему нужно собирать свои ядра, а не юзать дистрибные.
     
     
  • 2.34, Ivan_Pomidorov, 10:17, 31/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Отличный подход для Enterprise-а!
     
     
  • 3.37, пох, 18:52, 31/03/2017 [^] [ответить] [смотреть все]  
  • +/
    у энтерпрайса размером поболее подвальной лавчонки как раз обычно есть билдферма... весь текст скрыт [показать]
     
     
  • 4.39, Sem, 18:32, 03/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Это даже не смешно. У вас представление об энтерпрайзе как сборище линукс-гиков?
     
  • 1.36, Аноним, 18:07, 31/03/2017 [ответить] [смотреть все]  
  • –1 +/
    Топикстартер забыл упомянуть, что в Debian это некатит, потому, что non-standar... весь текст скрыт [показать]
     
     
  • 2.38, Аноним, 20:31, 31/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы невнимательно читали новость, там про это написано Например, пакеты с ядром... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList