The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

25.06.2016 20:41  Уязвимость в ядре Linux, позволяющая выйти из изолированного контейнера

В опубликованных несколько часов назад выпусках ядра Linux 3.14.73, 4.4.14 и 4.6.3 устранена критическая уязвимость (CVE-2016-4997), позволяющая локальному пользователю повысить свои привилегии или выполнить код с правами ядра. Уязвимость пока не устранена в дистрибутивах, обновление в процессе подготовки: SUSE, Ubuntu, Debian, RHEL.

Уязвимость присутствует в подсистеме netfilter и связана с недоработкой в обработчике setsockopt IPT_SO_SET_REPLACE. Проблема проявляется только при использовании пространств имён для изоляции сети и идентификаторов пользователей (user namespaces и network namespaces, сборка ядра с CONFIG_USER_NS=y и CONFIG_NET_NS=y). Так как user namespaces по умолчанию отключены в большинстве дистрибутивов, уязвимость представляет опасность в основном для систем, использующих изолированные контейнеры.

В обычных условиях вызов compat_setsockopt() может выполнить только пользователь root, но в ядрах с поддержкой пространств имён для сети и идентификаторов пользователей данное ограничение снимается и функциональность доступна для непривилегированного пользователя, работающего внутри контейнера (т.е. пользователь из контейнера может обойти изоляцию, выполнив код на уровне ядра). Детальное описание метода эксплуатации планируется обнародовать на следующей неделе.

Примечательно, что в списке изменений к новым выпускам факт исправления уязвимости никак не отмечен. Более того, исправления были предложены ещё для ветки 4.6-rc2 в апреле, без акцентирования внимания на наличие уязвимости, а начальный патч был подготовлен компанией Google, отправлен разработчикам ядра и использован в Chrome OS в начале марта.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Уязвимость в ядре Linux, позволяющая поднять привилегии через eCryptfs
  3. OpenNews: Уязвимость в rt-ядре RHEL, позволяющая выполнить команду SysRq, отправив пакет ICMP
  4. OpenNews: Представлена отдельная ветка ядра Linux с устранением уязвимостей
  5. OpenNews: Уязвимость в ядре Linux, позволяющая запустить код при подключении USB-устройства злоумышленника
  6. OpenNews: В ядре Linux обнаружена уязвимость, позволяющая поднять привилегии в системе
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: kernel, root
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 22:15, 25/06/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    > т.е. пользователь из контейнера может обойти изоляцию, выполнив код на уровня ядра

    Настолько эпично... А Selinux изолирует подобное?

     
     
  • 2.6, Анжелика (?), 23:07, 25/06/2016 [^] [ответить]    [к модератору]
  • –1 +/
    Любителей отключать selinux у нас столько, что даже если он и изолирует, это мало кому поможет ))
     
     
  • 3.10, grsec (ok), 02:19, 26/06/2016 [^] [ответить]    [к модератору]
  • +2 +/
    Безопасность != удобство.
     
  • 3.27, Аноним (-), 14:05, 26/06/2016 [^] [ответить]    [к модератору]
  • –5 +/
    Вы так свято верите, что NSA SELinux защищает вас? Подскажу, что ключевое слово в нём "NSA".
     
     
  • 4.31, exs (?), 17:38, 26/06/2016 [^] [ответить]    [к модератору]
  • +3 +/
    Ключевое слово: _HUGE_ Performance impact
     
  • 4.39, Аноним (-), 00:09, 27/06/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Ты так говоришь, как будто NSA напихает бэкдоров в открытый код А потом они сам... весь текст скрыт [показать]
     
     
  • 5.43, . (?), 04:52, 27/06/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Святая простота! Гугел настолько плотно работает со спецслужбами ... что ты так даже с девушкой своей не сможешь :-)
     
     
  • 6.46, Аноним (-), 07:58, 27/06/2016 [^] [ответить]     [к модератору]  
  • +/
    Так они поди сливают по запросу с своих серверов, тем более что бизнес-аналитики... весь текст скрыт [показать]
     
  • 2.48, linuxUser (?), 16:45, 27/06/2016 [^] [ответить]     [к модератору]  
  • +/
    изолирует так что только отключатели селинукса в опасности ... весь текст скрыт [показать]
     
  • 1.2, Онаним (?), 22:15, 25/06/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    А кто такой локальный пользователь в GNU Linux Есть какая-то принципиальная раз... весь текст скрыт [показать]
     
     
  • 2.3, Led (ok), 22:30, 25/06/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Да... весь текст скрыт [показать]
     
  • 2.4, Аноним (-), 22:31, 25/06/2016 [^] [ответить]    [к модератору]  
  • +7 +/
    Локальным всегда считался пользователь, имеющий аккаунт в системе и доступ к выполнению произвольного кода под своим uid.
     
     
  • 3.36, Ilya Indigo (ok), 18:56, 26/06/2016 [^] [ответить]     [к модератору]  
  • +/
    А системный, по вашему, не имеет ни того и ни другого Он точно также имеет учёт... весь текст скрыт [показать]
     
  • 2.8, Ilya Indigo (ok), 01:40, 26/06/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    У локального пользователя пользовательская оболочка bin bash и установлен парол... весь текст скрыт [показать]
     
     
  • 3.20, Аноним (-), 12:53, 26/06/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    А если /usr/bin/csh и /usr/sbin/nologin - это какие юзеры? Локальные, глобальные или VIP?
     
     
  • 4.23, Аноним (-), 13:13, 26/06/2016 [^] [ответить]    [к модератору]  
  • +9 +/
    > А если /usr/bin/csh и /usr/sbin/nologin - это какие юзеры? Локальные, глобальные или
    > VIP?

    Поднятые некромантом или призванные демонологом.

     
     
  • 5.24, Аноним (-), 13:17, 26/06/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Аххаххах! 5 баллов! :)
     
  • 5.53, Нониус (?), 07:43, 29/06/2016 [^] [ответить]    [к модератору]  
  • +/
    >Поднятые некромантом или призванные демонологом.

    Считается ли некромантологией случай, когда у демона хомяк в /var/empty а шеллом /dev/null ?

     
     
  • 6.54, Ilya Indigo (ok), 07:35, 30/06/2016 [^] [ответить]     [к модератору]  
  • +/
    Это не никромантия, а какое-то костылестроение, или поттерство Системный хомяк ... весь текст скрыт [показать]
     
  • 4.35, Ilya Indigo (ok), 18:49, 26/06/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Первый локальный, второй системный, при условии, что приведённые вами оболочки у... весь текст скрыт [показать]
     
     
  • 5.40, Аноним (-), 00:12, 27/06/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    А если шелло /usr/bin/dreamcatcher - это какой пользователь будет?
     
  • 2.12, Вареник (?), 03:49, 26/06/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Локальный - это значит имеющий учетную запись в данной системе, могущий что-то з... весь текст скрыт [показать]
     
     
  • 3.13, _KUL (ok), 06:52, 26/06/2016 [^] [ответить]     [к модератору]  
  • +/
    Допустим запрос HTTP что-то выполняет на сервере, но произвольной команды такой... весь текст скрыт [показать]
     
     
  • 4.28, Аноним (-), 14:12, 26/06/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Ну так это уже и есть удалённая эксплуатация уязвимости, т.е. без входа пользователя в свой хомяк и шелл.
     
  • 3.21, Аноним (-), 12:55, 26/06/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    А как запрос HTTP что-то выполняет на сервере, если у него юзера нет А если в а... весь текст скрыт [показать]
     
  • 1.5, chinarulezzz (ok), 23:01, 25/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    >Уязвимость пока не устранена в дистрибутивах

    в Void с утра ядро 4.6.3

     
  • 1.7, Аноним (-), 23:58, 25/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    фигово, что не написано ничего про 2.6.32 с шестилетними бекпортами, а у ональных бизнес-партнёров требуется подписка или access denied
     
     
  • 2.9, Ilya Indigo (ok), 01:47, 26/06/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    1 О чём вы думали, когда вашим бизнес партнёрам RHEL без подписки предлагали вме... весь текст скрыт [показать]
     
  • 1.14, Аноним (-), 09:45, 26/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Пойду собирать вещи на Debian GNU/HURD. Уж ядро Линукс слишком костыльно и опасно. Возможно, и бэкдоры для спецслужб стоят годами.
     
     
  • 2.22, Аноним (-), 12:56, 26/06/2016 [^] [ответить]    [к модератору]  
  • +10 +/
    > Пойду собирать вещи на Debian GNU/HURD. Уж ядро Линукс слишком костыльно и
    > опасно. Возможно, и бэкдоры для спецслужб стоят годами.

    Лучше бы KDE под FreeBSD пропатчил, ей богу.

     
  • 2.26, Аноним (-), 13:23, 26/06/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Да уж. Для HURD сегодня уже даже некому ядро поддерживать, не то что бекдвери туда внедрять.


     
  • 2.29, Аноним (-), 14:19, 26/06/2016 [^] [ответить]    [к модератору]  
  • +/
    >Возможно, и бэкдоры для спецслужб стоят годами.

    Так про один такой бекдор упомянула Анжелика выше.

     
  • 1.15, Аноним (-), 09:57, 26/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    о каких контейнерах вообще идет речь? lxc? вообще любых?

    [сообщение отредактировано модератором]

     
     
  • 2.18, Аноним (-), 10:39, 26/06/2016 [^] [ответить]     [к модератору]  
  • +5 +/
    Контейнеры в Linux только одни, отличаются лишь инструменты и мелкие детали доп... весь текст скрыт [показать]
     
     
  • 3.37, all_glory_to_the_hypnotoad (ok), 20:45, 26/06/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    В linux никаких контейнеров нет, есть только набор отдельных ядерных фич (уже упомянутые namespaces, cgroups и многое другие вроде (v)tun/tap/eth...) из которых набирают фичи получая какие-то уровни изоляции. Некоторые конечные продукты в итоге называют контейнерами.
     
  • 1.49, Какаянахренразница (ok), 20:45, 27/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Демоны вылазят из контейнеров.
     
     
  • 2.50, Andrey Mitrofanov (?), 21:14, 27/06/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > Демоны вылазят из контейнеров.

    :)
    Размуровались, демоны!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor