The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в драйвере vhost-net из состава ядра Linux

16.04.2020 09:53

В драйвере vhost-net, обеспечивающем работу virtio net на стороне хост-окружения, выявлена уязвимость (CVE-2020-10942), позволяющая локальному пользователю инициировать переполнение стека ядра через отправку устройству /dev/vhost-net определённым образом оформленного ioctl(VHOST_NET_SET_BACKEND). Проблема вызвана отсутствием должной проверки содержимого поля sk_family в коде функции get_raw_socket().

По предварительным данным уязвимость можно использовать для совершения локальной DoS-атаки через вызов краха ядра (сведений об использовании вызываемого уязвимостью переполнения стека для организации выполнения кода нет). Уязвимость устранена в обновлении ядра Linux 5.5.8. Для дистрибутивов проследить за выпуском обновлений пакетов можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch.

  1. Главная ссылка к новости (https://seclists.org/oss-sec/2...)
  2. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии через BPF
  3. OpenNews: Уязвимость в модификациях ядра, сделанных Samsung для повышения безопасности Android
  4. OpenNews: 15 уязвимостей в USB-драйверах, поставляемых в ядре Linux
  5. OpenNews: Три уязвимости в wifi-драйвере marvell, входящем в состав ядра Linux
  6. OpenNews: Уязвимость в ядре Linux, позволяющая вызвать крах через отправку UDP-пакета
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52747-kernel
Ключевые слова: kernel, linux, vhost-net
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, PnD (??), 10:16, 16/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    О как… Робот Петя (Google syzkaller) нашёл багу и тут же её "размотал".
    В этом месте я не понял, Linux 4.6 — это нижняя зааффекченная версия или просто ограничение в алгоритме.
    Кто знаком с Петей ближе, прокомментируйте пожалуйста.
     
     
  • 2.6, Аноним (6), 10:52, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Независимый аудит от Анонима показал что уязвимые строки есть и в 4.5
    https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/driver
    и в 4.6 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/driver

    Откуда кстати другной Аноним взял цифру 4.6? В Дебиане написано что уязвимо все до 3.16.56-1

     
     
  • 3.8, PnD (??), 12:01, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот тут https://lkml.org/lkml/2020/2/15/125 Петя отчитался о проделанной работе. И приложил PoC.
    В протоколе — тесты начиная с 4.6, что меня спросонья несколько удивило (вроде как "bisect" — про нахождение "всё починившего" коммита методом научного тыка, а за 4.6 я про kvm не помню интересного…). * fix таки было 16032be56c1f66770da15cb94f0eb366c37aff6e "virtio_net: add ethtool support for set and get of settings", но не про это.
    * ИЧСХ, отчёт от 15.02.2020. Два месяца трудились (над тремя строчками, при том что практически "носом ткнули").
     
     
  • 4.13, Аноним (13), 12:52, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так ты про вот это https://syzkaller.appspot.com/x/bisect.txt?x=13204371e00000 В целом да он только судя по всему он до 4.6 проверяет ниже нет.
     
  • 3.16, нах. (?), 13:04, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Откуда кстати другной Аноним взял цифру 4.6? В Дебиане написано что уязвимо все до 3.16.56-1

    просто дебиан копал до 3.16.56
    А петя с васей копали только до 4.6

    Так-то vhost-net с нами с 2.6.34-rc1 как минимум.

     

  • 1.4, КО (?), 10:24, 16/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Шо в прошлой, что в этой новости 404 на странице Арча - у них всё ОК!
     
     
  • 2.11, Ordu (ok), 12:39, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ядро упало, от переполнения стека. Ну это знаешь как всегда: почитал про уязвимость, руки так и тянутся попробовать её в деле.
     
  • 2.15, Аноним (13), 12:55, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это как нет антивируса нет вируса.
     
  • 2.17, iPony129412 (?), 13:05, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Они добавляют спустя несколько дней, как и починят и всё уже будет известно.
    Ну лень несколько раз редактировать.
     

  • 1.5, Аноним (6), 10:35, 16/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –14 +/
    Быстро. Бесплатно. Дыряво.
     
     
  • 2.19, Анонкос (?), 15:33, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Медленно, за деньги, дыряво и поболее, не юзабельно.
     
     
  • 3.32, kuku (ok), 02:06, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    отпетая фигня...
     

  • 1.7, нах. (?), 11:07, 16/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    crw------- 1 root root 10, 238 Sep 11  2019 /dev/vhost-net
    crw------- 1 root root 10, 241 Sep 11  2019 /dev/vhost-vsock

    опять надо эту уязвизьгмость запускать от рута уже полученного на хосте? Расходимся, сенсация не состоялась.

     
     
  • 2.9, PnD (??), 12:10, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вам надо переписать эксплоит прямо под qemu-kvm? Чтобы любой киддис мог покласть хост с 50…100 ВМ? (На моей грядке это типовая загрузка гипервизора.)
     
     
  • 3.14, нах. (?), 12:54, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пишите, чо. Донатов не обещаю, но точно пригодится.
    У меня масса друзей.

    Но подходящий баг придется самому поискать, от этого - пользы никакой, увы.


     
  • 2.10, Нанобот (ok), 12:15, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    берёшь виртуальную машину где-нибудь в aws/gce/azure, запускаешь эксплоит и роняешь хост вместе с сотней других виртуалок
     
     
  • 3.12, нах. (?), 12:51, 16/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    к сожалению, уронить таким способом получится только вложенные виртуалки, которые ты сам внутри этой виртуальной машины зачем-то запустил.

    это драйвер _хоста_, не виртуалки. Тот vhost-net что внутри нее - он не для общения с хостом, а чтоб самому им быть.

     
     
  • 4.33, Нанобот (ok), 15:50, 17/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а, ну тогда да, абсолютно безвредный баг, на "уязвимость" не тянет
     
     
  • 5.34, нах. (?), 16:15, 18/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    гугль же ж. То есть тянет на средство обхода дополнительных костылей и прокладок поверх стандартных юниксовых прав - selinux, cgroups и т д.

    Но, увы, только крэш.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру