Уязвимость в Timeshift, позволяющая поднять свои привилегии в системе

09.03.2020 11:28

В приложении Timeshift выявлена уязвимость (CVE-2020-10174), позволяющая локальному пользователю выполнить код с правами root. Timeshift представляет собой систему резервного копирования, использующую rsync с установкой жёстких ссылок или снапшоты Btrfs для реализации функциональности, похожей на System Restore в Windows и Time Machine в macOS. Программа входит в репозитории многих дистрибутивов и применяется по умолчанию в PCLinuxOS и Linux Mint. Уязвимость устранена в выпуске Timeshift 20.03.

Проблема вызвана некорректной работой с общедоступным каталогом /tmp. Во время создания резервной копии программа создаёт каталог /tmp/timeshift, в котором создаётся подкаталог со случайным именем, содержащий shell-сценарий с командами, запускаемый с правами root. Подкаталог со сценарием имеет непредсказуемое имя, но сам /tmp/timeshift предсказуем и не проверяется на подмену или создание вместо него символической ссылки. Атакующий может от своего имени создать каталог /tmp/timeshift, после чего отследить появление подкаталога и подменить этот подкаталог и файл в нём. В процессе работы Timeshift выполнит с правами root не сгенерированный программой сценарий, а файл, подменённый атакующим.

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/52509-timeshift

Ключевые слова: timeshift, security, tmp

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.1, Неуловимые Джо (?), 12:04, 09/03/2020 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Вот тебе раз! А мы думали, никто не догадается.

1.2, VINRARUS (ok), 14:30, 09/03/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Во время создания резервной копии программа создаёт каталог /tmp/timeshift, в котором создаётся подкаталог со случайным именем, содержащий shell-сценарий с командами, запускаемый с правами root. Кошмар, ну и колхоз. Харашо шо я пользуюсь snapper!

2.4, Аноним (4), 14:35, 09/03/2020 [^] [^^] [^^^] [ответить]	+1 +/–
>snapper который совсем о другом, ибо гуй для btrfs/lvm снапшотов, а сабж больше про гуй для rsync

3.5, VINRARUS (ok), 14:39, 09/03/2020 [^] [^^] [^^^] [ответить]	+/–
>>snapper > который совсем о другом, ибо гуй для btrfs/lvm снапшотов, а сабж больше > про гуй для rsync Ибо для копания нада использовать лопату, а не молоток.

4.10, Аноним (-), 00:46, 10/03/2020 [^] [^^] [^^^] [ответить]	+3 +/–
Может у него грунт каменистый? :)

5.11, VINRARUS (ok), 08:23, 10/03/2020 [^] [^^] [^^^] [ответить]	+/–
> Может у него грунт каменистый? :) Тогда от сажания картошки лучше отказаться ;)

3.6, mikhailnov (ok), 16:13, 09/03/2020 [^] [^^] [^^^] [ответить]	–1 +/–
GUI для rsync - это grsync, а сабж далек от этого

1.3, Аноним (4), 14:33, 09/03/2020 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
rsync хватит всем

1.7, Аноним (7), 16:36, 09/03/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Хорошее ПО. Очень много раз выручало

2.8, Аноним (8), 20:04, 09/03/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Выручало когда хотел в чужой системе привелегии повысить?

2.9, анонимуслинус (?), 21:20, 09/03/2020 [^] [^^] [^^^] [ответить]	+1 +/–
при этом оно забивает раздел в момент если эти снимки делаются раз в день)) даже при установке раз в месяц и то за несколько месяцев закроет весь системный раздел. если я просто буду копировать /etc и еще парочку мест и то дешевле обойдется.)) а так да удобный гуй.

1.12, Аноним (12), 12:11, 10/03/2020 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>Атакующий может от своего имени создать каталог /tmp/timeshift, после чего отследить появление подкаталога и подменить этот подкаталог и файл в нём.

прэлэээстно

впрочем, вряд ли кто-то в своём уме ставит сабж на мишн-критикал системы и тем более сервера.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: