The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Уязвимость в ядре Linux, позволяющая выйти из изолированного..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +/
Сообщение от opennews (??) on 25-Июн-16, 22:15 
В опубликованных несколько часов назад выпусках ядра Linux 3.14.73, 4.4.14 и 4.6.3 устранена (http://seclists.org/oss-sec/2016/q2/599) критическая уязвимость (CVE-2016-4997 (https://security-tracker.debian.org/tracker/CVE-2016-4997)), позволяющая локальному пользователю  повысить свои привилегии или выполнить код с правами ядра. Уязвимость пока не устранена в дистрибутивах, обновление в процессе подготовки: SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-4997), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2...), Debian (https://security-tracker.debian.org/tracker/CVE-2016-4997), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-4997).


Уязвимость присутствует в подсистеме netfilter и связана с недоработкой в обработчике setsockopt IPT_SO_SET_REPLACE. Проблема проявляется только при использовании пространств имён для изоляции сети и идентификаторов пользователей (user namespaces и network namespaces, сборка ядра с CONFIG_USER_NS=y и CONFIG_NET_NS=y). Так как user namespaces по умолчанию отключены в большинстве дистрибутивов, уязвимость представляет опасность в основном для систем, использующих изолированные контейнеры.

В обычных условиях вызов compat_setsockopt() может выполнить только пользователь root, но в ядрах с поддержкой пространств имён для сети и идентификаторов пользователей данное ограничение снимается и функциональность доступна для непривилегированного пользователя, работающего внутри контейнера (т.е. пользователь из контейнера может обойти изоляцию, выполнив код на уровня ядра). Детальное описание метода эксплуатации планируется обнародовать на следующей неделе.


Примечательно, что в списке изменений (https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.6.3) к новым выпускам факт исправления уязвимости никак не отмечен. Более того, исправления были предложены (http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g...) ещё для ветки 4.6-rc2 в апреле, без акцентирования внимания на наличие уязвимости, а начальный патч (http://marc.info/?l=netfilter-devel&m=145842428504125&w=2) был подготовлен (https://bugs.chromium.org/p/project-zero/issues/detail?id=758) компанией Google, отправлен разработчикам ядра и использован в Chrome OS в начале марта.

URL: http://seclists.org/oss-sec/2016/q2/599
Новость: https://www.opennet.ru/opennews/art.shtml?num=44669

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +4 +/
Сообщение от Аноним (??) on 25-Июн-16, 22:15 
> т.е. пользователь из контейнера может обойти изоляцию, выполнив код на уровня ядра

Настолько эпично... А Selinux изолирует подобное?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Анжелика on 25-Июн-16, 23:07 
Любителей отключать selinux у нас столько, что даже если он и изолирует, это мало кому поможет ))
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +2 +/
Сообщение от grsec (ok) on 26-Июн-16, 02:19 
Безопасность != удобство.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

27. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –5 +/
Сообщение от Аноним (??) on 26-Июн-16, 14:05 
Вы так свято верите, что NSA SELinux защищает вас? Подскажу, что ключевое слово в нём "NSA".
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

31. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +3 +/
Сообщение от exs on 26-Июн-16, 17:38 
Ключевое слово: _HUGE_ Performance impact
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

39. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Аноним (??) on 27-Июн-16, 00:09 
> Вы так свято верите, что NSA SELinux защищает вас? Подскажу, что ключевое
> слово в нём "NSA".

Ты так говоришь, как будто NSA напихает бэкдоров в открытый код. А потом они сами не будут случайно бегать в мыле, когда всякие русские, китайские и исламские хакеры зайдут к ним в гости? Это было бы недальновидно, они тоньше работают. Всучили в SSL пробэкдоренный вариант эллиптических кривых и рады поуши. Тут правда некстати всякие Бернштейны подвернулись, а всякие непатриотичные гуглы даже в ssl библиотеки запихивают. Был бы гугл майкрософтом, а америка россией - кушали бы бы NIST P256 curve до скончания веков.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

43. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –1 +/
Сообщение от . on 27-Июн-16, 04:52 
Святая простота! Гугел настолько плотно работает со спецслужбами ... что ты так даже с девушкой своей не сможешь :-)
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

46. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (??) on 27-Июн-16, 07:58 
> Святая простота! Гугел настолько плотно работает со спецслужбами ... что ты так
> даже с девушкой своей не сможешь :-)

Так они поди сливают по запросу с своих серверов, тем более что бизнес-аналитики у них столько что они тебе про тебя расскажут больше чем ты знаешь о себе сам. А вот неконтролируемо лазить по своей инфраструктуре ни одна уважающая себя компания или служба не позволит. Хотя-бы потому что в конце концов этот бэкдор кто-нибудь найдет и получится как с комодохакером и дигинотаром. Те правда были совсем глупые и использовали активную директорию, так что после взлома аккаунта админа им оставалось только сушить весла.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

48. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +/
Сообщение от linuxUser on 27-Июн-16, 16:45 
>> т.е. пользователь из контейнера может обойти изоляцию, выполнив код на уровня ядра
> Настолько эпично... А Selinux изолирует подобное?

изолирует. так что только отключатели селинукса в опасности

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –3 +/
Сообщение от Онаним on 25-Июн-16, 22:15 
> позволяющая локальному пользователю

А кто такой локальный пользователь в GNU/Linux? Есть какая-то принципиальная разница между пользователями, взаимодействующими с системой через подключенные к этому же компьютеру напрямую монитор и клавиатуру и пользователем, зашедшим через SSH?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Led (ok) on 25-Июн-16, 22:30 
> Есть какая-то принципиальная разница между пользователями, взаимодействующими с системой через подключенные к этому же компьютеру напрямую монитор и клавиатуру и пользователем, зашедшим через SSH?

Да

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +7 +/
Сообщение от Аноним (??) on 25-Июн-16, 22:31 
Локальным всегда считался пользователь, имеющий аккаунт в системе и доступ к выполнению произвольного кода под своим uid.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

36. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +/
Сообщение от Ilya Indigo (ok) on 26-Июн-16, 18:56 
> Локальным всегда считался пользователь, имеющий аккаунт в системе и доступ к выполнению
> произвольного кода под своим uid.

А системный, по вашему, не имеет ни того и ни другого?
Он точно также имеет учётную запись и также может выполнять код, разница лишь в том, что у него домашний каталог в /var/lib и оболочка не позволяющая ему авторизироваться, только получить полномочия от рута.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Ilya Indigo (ok) on 26-Июн-16, 01:40 
У локального пользователя пользовательская оболочка /bin/bash и установлен пароль. У системного /bin/false и нет пороля, что не позволяет ему авторизироваться в системе. А если вы изменили в vipw пользовательскую оболочку на /bin/bash и задали ему пароль, то вы системного превратили в локального, с тем отличием, что у него uid ниже 1000 и домашний каталого не в /home, а скоррее всего в /var/lib но это роли никакой не играет.
> пользователем, зашедшим через SSH...

Я, конечно, не пробовал заходить системным пользователем без пароля по публичному ключу, но даже если это возможно, то залогинитmся по SSH, как и через что угодно с пользовательской оболочкой /bin/false не возможно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –2 +/
Сообщение от Аноним (??) on 26-Июн-16, 12:53 
А если /usr/bin/csh и /usr/sbin/nologin - это какие юзеры? Локальные, глобальные или VIP?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +9 +/
Сообщение от Аноним (??) on 26-Июн-16, 13:13 
> А если /usr/bin/csh и /usr/sbin/nologin - это какие юзеры? Локальные, глобальные или
> VIP?

Поднятые некромантом или призванные демонологом.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Аноним (??) on 26-Июн-16, 13:17 
Аххаххах! 5 баллов! :)
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

53. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +/
Сообщение от Нониус on 29-Июн-16, 07:43 
>Поднятые некромантом или призванные демонологом.

Считается ли некромантологией случай, когда у демона хомяк в /var/empty а шеллом /dev/null ?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

54. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +/
Сообщение от Ilya Indigo (ok) on 30-Июн-16, 07:35 
>>Поднятые некромантом или призванные демонологом.
> Считается ли некромантологией случай, когда у демона хомяк в /var/empty а шеллом
> /dev/null ?

Это не никромантия, а какое-то костылестроение, или поттерство.
Системный хомяк должен быть у каждого системного пользователя в /var/lib/user_name или отведённом ему для этого месте в дистрибутиве. А для заглушки логина специально предназначено /bin/false, которое есть во всех дистрибутивах.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

35. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Ilya Indigo (ok) on 26-Июн-16, 18:49 
> А если /usr/bin/csh и /usr/sbin/nologin - это какие юзеры? Локальные, глобальные или
> VIP?

Первый локальный, второй системный, при условии, что приведённые вами оболочки установлены в системе. У меня nologin установлена в /sbin/nologin.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

40. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –2 +/
Сообщение от Аноним (??) on 27-Июн-16, 00:12 
А если шелло /usr/bin/dreamcatcher - это какой пользователь будет?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

12. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Вареник on 26-Июн-16, 03:49 
Локальный - это значит имеющий учетную запись в данной системе, могущий что-то запустить с правами юзера (нерута).

Допустим запрос HTTP что-то выполняет на сервере, но произвольной команды такой запрос выполнить не может. А "локальный пользователь" - тот, кто может. Без разницы - с клавы или через SSH.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +/
Сообщение от _KUL (ok) on 26-Июн-16, 06:52 
"Допустим запрос HTTP что-то выполняет на сервере, но произвольной команды такой запрос выполнить не может."
Счастливая и спокойная была бы жизнь, ни каких эксплуатаций веб дыр от имени процесса обрабатывающего подобные запросы ...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

28. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +2 +/
Сообщение от Аноним (??) on 26-Июн-16, 14:12 
Ну так это уже и есть удалённая эксплуатация уязвимости, т.е. без входа пользователя в свой хомяк и шелл.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Аноним (??) on 26-Июн-16, 12:55 
> Допустим запрос HTTP что-то выполняет на сервере, но произвольной команды такой запрос
> выполнить не может. А "локальный пользователь" - тот, кто может. Без
> разницы - с клавы или через SSH.

А как запрос HTTP что-то выполняет на сервере, если у него юзера нет? А если в апаче/нгинхе/нужное вписать - дыра, позволяющая через HTTP выполнить произвольный код, запрос HTTP может выполнить команду или нет? Так имеет локального пользователя сервер HTTP или не имеет?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

5. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –2 +/
Сообщение от chinarulezzz (ok) on 25-Июн-16, 23:01 
>Уязвимость пока не устранена в дистрибутивах

в Void с утра ядро 4.6.3

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –3 +/
Сообщение от Аноним (??) on 25-Июн-16, 23:58 
фигово, что не написано ничего про 2.6.32 с шестилетними бекпортами, а у ональных бизнес-партнёров требуется подписка или access denied
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –2 +/
Сообщение от Ilya Indigo (ok) on 26-Июн-16, 01:47 
> фигово, что не написано ничего про 2.6.32 с шестилетними бекпортами, а у
> ональных бизнес-партнёров требуется подписка или access denied

1 О чём вы думали, когда вашим бизнес партнёрам RHEL без подписки предлагали вместо CentOS?
2 О чём думали ваши партнёры, когда соглашались на это?
3 Все ядра 2-ой версии устарели и не поддерживаются.
4 Red Hat всегда сам содержит все свои ядра, со своим блекджеком и патчами из актуальных ядер.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –3 +/
Сообщение от Аноним (??) on 26-Июн-16, 09:45 
Пойду собирать вещи на Debian GNU/HURD. Уж ядро Линукс слишком костыльно и опасно. Возможно, и бэкдоры для спецслужб стоят годами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +10 +/
Сообщение от Аноним (??) on 26-Июн-16, 12:56 
> Пойду собирать вещи на Debian GNU/HURD. Уж ядро Линукс слишком костыльно и
> опасно. Возможно, и бэкдоры для спецслужб стоят годами.

Лучше бы KDE под FreeBSD пропатчил, ей богу.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

26. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Аноним (??) on 26-Июн-16, 13:23 
Да уж. Для HURD сегодня уже даже некому ядро поддерживать, не то что бекдвери туда внедрять.


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

29. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (??) on 26-Июн-16, 14:19 
>Возможно, и бэкдоры для спецслужб стоят годами.

Так про один такой бекдор упомянула Анжелика выше.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  –3 +/
Сообщение от Аноним (??) on 26-Июн-16, 09:57 
о каких контейнерах вообще идет речь? lxc? вообще любых?

[сообщение отредактировано модератором]

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +5 +/
Сообщение от Аноним (??) on 26-Июн-16, 10:39 
> мля, о каких контейнерах вообще идет речь? lxc? вообще любых?

Контейнеры в Linux только одни, отличаются лишь инструменты и мелкие детали (доп. применение apparmor, selinux, seccomp и т.п.). Основа везде cgroups и namespaces. user namespaces последнее время почти во всех инструментах управления контейнерами поддерживается.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

37. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 26-Июн-16, 20:45 
В linux никаких контейнеров нет, есть только набор отдельных ядерных фич (уже упомянутые namespaces, cgroups и многое другие вроде (v)tun/tap/eth...) из которых набирают фичи получая какие-то уровни изоляции. Некоторые конечные продукты в итоге называют контейнерами.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

49. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +2 +/
Сообщение от Какаянахренразница (ok) on 27-Июн-16, 20:45 
Демоны вылазят из контейнеров.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Уязвимость в ядре Linux, позволяющая выйти из изолированного..."  +2 +/
Сообщение от Andrey Mitrofanov on 27-Июн-16, 21:14 
> Демоны вылазят из контейнеров.

:)
Размуровались, демоны!

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру