The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.05.2016 10:33  Уязвимость в rt-ядре RHEL, позволяющая выполнить команду SysRq, отправив пакет ICMP

В ядре kernel-rt c реализацией режима реального времени для Red Hat Enterprise Linux выявлена проблема с безопасностью, позволяющая организовать атаку по выполнению произвольных команд SysRq (например, инициировать перезагрузку) через отправку специально оформленных пакетов ICMP echo. Проблема связана с недоработкой в реализации функции отправки команд SysRq по сети, которая не была принята в состав основного ядра, но вошла в состав пакета kernel-rt с набором патчей PREEMPT_RT. Патч также используется в пакетах с ядром в некоторых других дистрибутивах, например проблема присутствует в ядре из состава Debian (дополнение: несмотря на то, что в трекере Debian все ядра помечены как уязвимые, фактически в ядре из Debian нет следов патча CONFIG_SYSRQ_PING). Обычное (не "-rt") ядро RHEL проблеме не подвержено.

Патч отправки SysRq по сети был создан для реагирования на зависания системы, при которых система никак не реагирует на клавиатурный ввод, но продолжает отвечать на запросы ping. Патч предлагает опцию CONFIG_SYSRQ_PING при активации которой пользователь может добавить в файл /sys/kernel/debug/network_sysrq_magic секретную кодовую последовательность, которая в дальнейшем может использоваться в качестве ключа для удалённого выполнения команд SysRq. Например, команду SysRq можно отправить через "ping -c 1 -p 1623a06f554d46d676d 192.168.1.1", где 1623a06f554d46d67 - ключ, а 6d - код команды sysrq-m.

Реализация имеет две проблемы: Размер ключа составляет не более 30 шестнадцатеричных цифр (на практике может быть указано существенно меньше цифр), что с учётом легковесности пакетов icmp позволяет удалённому злоумышленнику совершить bruteforce-атаку и методом подбора определить нужный ключ. Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: sysrq, kernel
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 10:47, 17/05/2016 [ответить] [смотреть все]
  • +11 +/
    Лол
     
  • 1.2, DmA, 10:49, 17/05/2016 [ответить] [смотреть все]
  • +1 +/
    чего только не придумают для создания новых дыр в системе.
     
  • 1.3, MPEG LA, 10:57, 17/05/2016 [ответить] [смотреть все]
  • +2 +/
    >не более 30 шестнадцатеричных чисел

    цифр. 1.32*10^36 значений. даже если миллион пакетов в секунду, то это туева хуча лет на брутфорс. а вот третья проблема - этот ICMP перехватывается и повторяется без проблем.

     
     
  • 2.4, Аноним, 11:10, 17/05/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    На практике цифр 8-10 используют для пароля, 30 - это максимальное значение.
     
     
  • 3.5, MPEG LA, 11:50, 17/05/2016 [^] [ответить] [смотреть все]
  • +10 +/
    думается мне, что людей, которые понимают debugfs, SysRq, ICMP и отправку данных поверх него, при этом не понимая брутфорса, на этой планете довольно мало. Ну по-крайней мере надеюсь на это.
     
     
  • 4.24, Аноним, 01:32, 18/05/2016 [^] [ответить] [смотреть все]  
  • +/
    А как проверить, что ключ подошёл Слать команду ребут и детектить момент, ког... весь текст скрыт [показать]
     
  • 1.8, None, 12:22, 17/05/2016 [ответить] [смотреть все]  
  • +/
    Радует то, что самую серьёзную уязвимость - возможность осуществить DoS атаку путём нажатия кнопки reset на системном блоке - многие вендоры уже устранили.
     
  • 1.9, Аноним, 12:30, 17/05/2016 [ответить] [смотреть все]  
  • +1 +/
    Я так понял, это для отладки и ковыряния на полигоне Не для тырнетов же, разве ... весь текст скрыт [показать]
     
  • 1.10, Аноним, 12:32, 17/05/2016 [ответить] [смотреть все]  
  • +1 +/
    Главное что это не в основной ветке, а то что делают другие для себя это их проб... весь текст скрыт [показать]
     
  • 1.11, anonymous, 12:57, 17/05/2016 [ответить] [смотреть все]  
  • +3 +/
    Пинг смерти 20 лет спустя
     
     
  • 2.21, angra, 21:10, 17/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ага, для его успешности надо подождать всего лишь жалкие двадцать секстиллионов ... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Аноним, 12:58, 17/05/2016 [ответить] [смотреть все]  
  • +/
    Давайте перезагрузим биржи И операционные центры Visa и MasterCrad И И ... весь текст скрыт [показать]
     
     
  • 2.19, Аноним, 18:46, 17/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А вы их айпишники знаете?
     
  • 1.14, EuPhobos, 13:57, 17/05/2016 [ответить] [смотреть все]  
  • +2 +/
    > Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.

    Ой ли?..

    $ cd /sys/kernel/debug/
    bash: cd: /sys/kernel/debug/: Отказано в доступе

    drwx------ 21 root root    0 апр 28 13:06 debug

    Не доктор вэб ли опять панику наводит?
    Высосать из пальца проблему.

     
     
  • 2.25, Аноним, 10:01, 18/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Ой ли?..

    У тебя RHEL? Новость вообще то про неё

     
     
  • 3.27, EuPhobos, 11:26, 18/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Там дебьян приписали Да и для RHEL проблемы как таковой нет, если есть мозги у... весь текст скрыт [показать]
     
  • 1.15, Аноним, 14:09, 17/05/2016 [ответить] [смотреть все]  
  • –2 +/
    что вообще это за хрень? опять проделки пОТТЕРА?
     
     
  • 2.18, Andrey Mitrofanov, 15:38, 17/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > что вообще это за хрень? опять проделки пОТТЕРА?

    https://lwn.net/Articles/448790/ Разве что он завёл себе псевдоним.

     
  • 1.16, vitalif, 14:12, 17/05/2016 [ответить] [смотреть все]  
  • +/
    Так это ж прямо escape_me m0r1k'овский!! =)) Ромин то есть, мы с ним в агаве работали))) он так себе комп перезагружал удалённо, когда firefox (2.x какой-то ещё) всю память выжирал...
     
  • 1.17, sasku, 15:21, 17/05/2016 [ответить] [смотреть все]  
  • +/
    > Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.

    Debian 8, Debian 9:
    drwx------ 23 root root    0 Mar 10 10:17 debug

     
  • 1.20, Ursadon, 19:08, 17/05/2016 [ответить] [смотреть все]  
  • +4 +/
    Чё панику развели?
    Написано же: не использовать в небезопасном окружении.
    Реализацию сделали, а как закрыться - пусть думает админ.
    Не надо - не используй модуль.

    diff --git a/Documentation/networking/sysrq-ping.txt b/Documentation/networking/sysrq-ping.txt
    ....
    +   Allows execution of sysrq-X commands via ping over ipv4.  This is a
    +   known security hazard and should not be used in unsecure
    +   environments.


    И вообще, патчу 5 лет. С разморозкой, RedHat!

     
  • 1.22, Шарп, 21:28, 17/05/2016 [ответить] [смотреть все]  
  • –3 +/
    Софт должен попадать в репы с минимальными изменениями Вот поэтому арч выгодно ... весь текст скрыт [показать]
     
     
  • 2.23, anonymous, 00:36, 18/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Молодец, сили дальше без PREEMPT_RT
     
  • 1.26, qwerty, 10:03, 18/05/2016 [ответить] [смотреть все]  
  • +/
    Бред, какой то, какая же это уязвимость то, НОРМАЛЬНЫЙ админ, который устанавливает подобные системы должен изолировать их от инета что бы не мешал, ибо rt-шный системы делают не для инета.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor