The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в pppd и lwIP, позволяющая удалённо выполнить код с правами root

07.03.2020 11:46

В пакете pppd выявлена уязвимость (CVE-2020-8597), позволяющая выполнить свой код через отправку специально оформленных запросов на аутентификацию к системам, использующим протокол PPP (Point-to-Point Protocol) или PPPoE (PPP over Ethernet). Данные протоколы обычно применяются провайдерами для организации подключения через Ethernet или DSL, а также используются в некоторых VPN (например, pptpd и openfortivpn). Для проверки подверженности своих систем проблеме подготовлен прототип эксплоита.

Уязвимость вызвана переполнением буфера в реализации протокола аутентификации EAP (Extensible Authentication Protocol). Атака может быть совершена на стадии до прохождения аутентификации через отправку пакета с типом EAPT_MD5CHAP, включающим очень длинное имя хоста, не вмещающиеся в выделенный буфер. Из-за ошибки в коде проверки размера поля rhostname, атакующий может перезаписать данные за пределами буфера в стеке и добиться удалённого выполнения своего кода с правами root. Уязвимость проявляется на стороне сервера и клиента, т.е. может быть атакован не только сервер, но и клиент, пытающийся подключиться к серверу, подконтрольному атакующему (например, злоумышленник может вначале взломать через уязвимость сервер, а потом начать поражать подключающихся клиентов).

Проблема затрагивает версии pppd с 2.4.2 по 2.4.8 включительно и устранена в форме патча. Уязвимость также затрагивает стек lwIP, но в конфигурации по умолчанию в lwIP поддержка EAP не включена. Статус устранения проблемы в дистрибутивах можно посмотреть на данных страницах: Debian, Ubuntu, RHEL, Fedora, SUSE, OpenWRT, Arch, NetBSD. В RHEL, OpenWRT и SUSE пакет pppd собран с включением защиты "Stack Smashing Protection" (режим "-fstack-protector" в gcc), что ограничивает эксплуатацию крахом. Кроме дистрибутивов уязвимость также подтверждена в некоторых продуктах Cisco (CallManager), TP-LINK и Synology (DiskStation Manager, VisualStation VS960HD и Router Manager), использующих код pppd или lwIP.

  1. Главная ссылка к новости (https://seclists.org/fulldiscl...)
  2. OpenNews: Удалённая root-уязвимость в DHCP-клиенте из состава RHEL и Fedora
  3. OpenNews: Вышел ppp 2.4.7
  4. OpenNews: Опасная уязвимость в модуле l2tp_ppp из состава ядра Linux
  5. OpenNews: Критическая уязвимость в Exim, позволяющая удалённо выполнить код с правами root
  6. OpenNews: Уязвимости в OpenSMTPD, позволяющие удалённо и локально получить права root
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52498-ppp
Ключевые слова: ppp, pppd, eap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, redhat (??), 12:10, 07/03/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +15 +/
     
  • 1.2, Vas Yan (?), 12:15, 07/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    - if (vallen >= len + sizeof (rhostname)) {
    + if (len - vallen >= sizeof (rhostname)) {
    Отцы, ну почему?
     
     
  • 2.3, Аноним (3), 12:24, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Given that we have just checked vallen < len, it can never be the case
    that vallen >= len + sizeof(rhostname).  This fixes the check so we
    actually avoid overflowing the rhostname array.
     
  • 2.16, Аноним (16), 15:30, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    потому как есть такая хрень как code coverage + corner tests, который никто не делал
     
     
  • 3.22, Вася (??), 18:40, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    П..сы, слов нет
     
  • 2.34, odmin (??), 06:05, 12/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    потому что каждая кухарка может стать программистом
     

  • 1.4, Нанобот (ok), 13:02, 07/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > клиент, пытающийся подключиться к серверу, подконтрольному атакующему

    А если, допустим, клиент подключается к нормальному серверу, но потом ему приходит пакет, отправленый злоумышлеником через спуфинг адреса сервера?

     
     
  • 2.5, Аноним (5), 13:13, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Откуда в соединении точка-точка спуфнутый пакет? Разве, что если атакующий рядом в Ethernet сидит при подключении по PPPoE, но ему в этом случае проще сервером притвориться.
     
     
  • 3.32, Аноним (-), 21:49, 09/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Откуда в соединении точка-точка спуфнутый пакет? Разве, что если атакующий рядом

    ...сервак или какой там еще сотовый модем поимел в наглую (или NSA просто прислало FOTA с новой фичой) :)

     

  • 1.6, пох. (?), 13:17, 07/03/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –16 +/
     
     
  • 2.7, СеменСеменыч777 (?), 13:27, 07/03/2020 Скрыто модератором
  • –1 +/
     
     
  • 3.8, пох. (?), 13:40, 07/03/2020 Скрыто модератором
  • –7 +/
     
     
  • 4.9, anonymous (??), 14:00, 07/03/2020 Скрыто модератором
  • +1 +/
     
     
  • 5.13, anonymous (??), 14:26, 07/03/2020 Скрыто модератором
  • +1 +/
     
  • 2.10, Аноним (10), 14:04, 07/03/2020 Скрыто модератором
  • +4 +/
     
  • 2.11, Аноним (11), 14:05, 07/03/2020 Скрыто модератором
  • –1 +/
     
     
  • 3.12, пох. (?), 14:25, 07/03/2020 Скрыто модератором
  • –2 +/
     
     
  • 4.17, ананим.orig (?), 15:44, 07/03/2020 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (8)

  • 1.14, YetAnotherOnanym (ok), 14:45, 07/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Тысячи глаз, да.
     
     
  • 2.15, Michael Shigorin (ok), 15:04, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> seclists.org/fulldisclosure
    > Тысячи глаз

    да.

     
     
  • 3.20, Аноним (20), 16:22, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    17 лет назад вышел ALT Linux Junior 2.2 (с KDE 3.1 и GNOME 2.2)! Спасибо, за это!
     

  • 1.18, знаток (?), 16:05, 07/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    ppp же в 90-х пользовались. когда диалап был и 56к модемы
     
     
  • 2.19, Crazy Alex (ok), 16:09, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    PPPoE и сейчас полно
     
     
  • 3.30, трурль (?), 09:34, 08/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    PPP сейчас еще более полно - в каждом мобильнике и 2/3/4G модеме.
     
     
  • 4.31, Аноним (31), 23:01, 08/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ЩАЗ!!! Примерно с появлением 4G это стало жрать проц в таких объемах что всех законопатило. Поэтому сколь-нибудь новые модемы вывешивают что угодно кроме ppp. Вплоть до того что прикидываются usb-сетевкой какой, и наружу ethernet frames грузят. А автоконект и проч - где-то там, унутрях, фирмварь, даже с вебмордой (для настройки).
     
  • 2.21, анонимуслинус (?), 18:08, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    все сколько нибудь удаленные от кольца места пользуют dsl до сих пор. и их не просто много а оч много. при этом там именно pppoe. так что да проблема не маленькая.
     
     
  • 3.24, пох. (?), 19:53, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > все сколько нибудь удаленные от кольца места пользуют dsl до сих пор.

    ну это смотря насколько - удаленные. Сперва-то будет dsl, потом и вовсе записочки на бересте, потом, вроде, псеглавцы живут, а дальше вполне себе docsis начинается. Там, обычно, pppoa (поскольку он в душе немножко ATM), правда, юзеру об этом знать необязательно, в его сторону обычный ethernet.

     
     
  • 4.25, анонимуслинус (?), 21:58, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    культпросвет? ну так для заметки начинал поползновения в сети еще на тоновом модеме в 56 кб/с. звук кстати прикольный))) прям ностальгия по фильму хакеры)) если не ошибаюсь до сих пор существуют конторки принимающие такой тип подключения. как то 2 лет назад натыкался на флаер такой. и вообще нормальное соединение че все пристали к нему.
     
  • 3.33, ryoken (ok), 08:57, 10/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вообще-то вот у того же Ростелекома авторизация через PPPoE. Это в МосОбласти точно :).
     
  • 2.23, анониммус (?), 18:51, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    прикинь, езернет тоже не вчера придуман.
     
  • 2.26, Аноним (26), 02:52, 08/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня на линке в 850Мбит/с используется pppoe
     
     
  • 3.27, Аноним (27), 06:26, 08/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе, определенно, проц нечем занять...
     

  • 1.28, Аноним (27), 06:28, 08/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    lwIP - довольно стебно, он в бутлоадерах, МК и проч бывает, так что это теоретически позволяет довольно странные поимения странных вещиц.
     
     
  • 2.29, Аноним (27), 06:29, 08/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    p.s. а, блин, EAP нужен. Его нет ни у кого в упомянутых...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру