Уязвимость в драйвере vhost-net из состава ядра Linux

16.04.2020 09:53

В драйвере vhost-net, обеспечивающем работу virtio net на стороне хост-окружения, выявлена уязвимость (CVE-2020-10942), позволяющая локальному пользователю инициировать переполнение стека ядра через отправку устройству /dev/vhost-net определённым образом оформленного ioctl(VHOST_NET_SET_BACKEND). Проблема вызвана отсутствием должной проверки содержимого поля sk_family в коде функции get_raw_socket().

По предварительным данным уязвимость можно использовать для совершения локальной DoS-атаки через вызов краха ядра (сведений об использовании вызываемого уязвимостью переполнения стека для организации выполнения кода нет). Уязвимость устранена в обновлении ядра Linux 5.5.8. Для дистрибутивов проследить за выпуском обновлений пакетов можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/52747-kernel

Ключевые слова: kernel, linux, vhost-net

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (19)

1.3, PnD (??), 10:16, 16/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
О как… Робот Петя (Google syzkaller) нашёл багу и тут же её "размотал". В этом месте я не понял, Linux 4.6 — это нижняя зааффекченная версия или просто ограничение в алгоритме. Кто знаком с Петей ближе, прокомментируйте пожалуйста.

2.6, Аноним (6), 10:52, 16/04/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Независимый аудит от Анонима показал что уязвимые строки есть и в 4.5 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/driver и в 4.6 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/driver Откуда кстати другной Аноним взял цифру 4.6? В Дебиане написано что уязвимо все до 3.16.56-1

3.8, PnD (??), 12:01, 16/04/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Вот тут https://lkml.org/lkml/2020/2/15/125 Петя отчитался о проделанной работе. И приложил PoC. В протоколе — тесты начиная с 4.6, что меня спросонья несколько удивило (вроде как "bisect" — про нахождение "всё починившего" коммита методом научного тыка, а за 4.6 я про kvm не помню интересного…). * fix таки было 16032be56c1f66770da15cb94f0eb366c37aff6e "virtio_net: add ethtool support for set and get of settings", но не про это. * ИЧСХ, отчёт от 15.02.2020. Два месяца трудились (над тремя строчками, при том что практически "носом ткнули").

4.13, Аноним (13), 12:52, 16/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Так ты про вот это https://syzkaller.appspot.com/x/bisect.txt?x=13204371e00000 В целом да он только судя по всему он до 4.6 проверяет ниже нет.

3.16, нах. (?), 13:04, 16/04/2020 [^] [^^] [^^^] [ответить]

+/–

> Откуда кстати другной Аноним взял цифру 4.6? В Дебиане написано что уязвимо все до 3.16.56-1

просто дебиан копал до 3.16.56
А петя с васей копали только до 4.6

Так-то vhost-net с нами с 2.6.34-rc1 как минимум.

1.4, КО (?), 10:24, 16/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Шо в прошлой, что в этой новости 404 на странице Арча - у них всё ОК!

2.11, Ordu (ok), 12:39, 16/04/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Ядро упало, от переполнения стека. Ну это знаешь как всегда: почитал про уязвимость, руки так и тянутся попробовать её в деле.

2.15, Аноним (13), 12:55, 16/04/2020 [^] [^^] [^^^] [ответить]	+/–
Это как нет антивируса нет вируса.

2.17, iPony129412 (?), 13:05, 16/04/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Они добавляют спустя несколько дней, как и починят и всё уже будет известно. Ну лень несколько раз редактировать.

1.5, Аноним (6), 10:35, 16/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	–14 +/–
Быстро. Бесплатно. Дыряво.

2.19, Анонкос (?), 15:33, 16/04/2020 [^] [^^] [^^^] [ответить]	+6 +/–
Медленно, за деньги, дыряво и поболее, не юзабельно.

3.32, kuku (ok), 02:06, 17/04/2020 [^] [^^] [^^^] [ответить]	+/–
отпетая фигня...

1.7, нах. (?), 11:07, 16/04/2020 [ответить] [﹢﹢﹢] [ · · · ]

+4 +/–

crw------- 1 root root 10, 238 Sep 11 2019 /dev/vhost-net
crw------- 1 root root 10, 241 Sep 11 2019 /dev/vhost-vsock

опять надо эту уязвизьгмость запускать от рута уже полученного на хосте? Расходимся, сенсация не состоялась.

2.9, PnD (??), 12:10, 16/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
А вам надо переписать эксплоит прямо под qemu-kvm? Чтобы любой киддис мог покласть хост с 50…100 ВМ? (На моей грядке это типовая загрузка гипервизора.)

3.14, нах. (?), 12:54, 16/04/2020 [^] [^^] [^^^] [ответить]

+1 +/–

пишите, чо. Донатов не обещаю, но точно пригодится.
У меня масса друзей.

Но подходящий баг придется самому поискать, от этого - пользы никакой, увы.

2.10, Нанобот (ok), 12:15, 16/04/2020 [^] [^^] [^^^] [ответить]	+/–
берёшь виртуальную машину где-нибудь в aws/gce/azure, запускаешь эксплоит и роняешь хост вместе с сотней других виртуалок

3.12, нах. (?), 12:51, 16/04/2020 [^] [^^] [^^^] [ответить]

+2 +/–

к сожалению, уронить таким способом получится только вложенные виртуалки, которые ты сам внутри этой виртуальной машины зачем-то запустил.

это драйвер _хоста_, не виртуалки. Тот vhost-net что внутри нее - он не для общения с хостом, а чтоб самому им быть.

4.33, Нанобот (ok), 15:50, 17/04/2020 [^] [^^] [^^^] [ответить]	+/–
а, ну тогда да, абсолютно безвредный баг, на "уязвимость" не тянет

5.34, нах. (?), 16:15, 18/04/2020 [^] [^^] [^^^] [ответить]

+/–

гугль же ж. То есть тянет на средство обхода дополнительных костылей и прокладок поверх стандартных юниксовых прав - selinux, cgroups и т д.

Но, увы, только крэш.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: