forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в ядре Linux, позволяющая обойти ограничения user..."
Отправлено opennews, 22-Ноя-18 21:04

В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей (user namespace) в основной набор идентификаторов выявлена (https://www.openwall.com/lists/oss-security/2018/11/16/1) уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1712) (CVE-2018-18955 (https://security-tracker.debian.org/tracker/CVE-2018-18955)), позволяющая непривилегированному пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства имён идентификаторов. Например, при использовании общей файловой системы в контейнере и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла /etc/shadow в основном окружении.

Уязвимость вызвана (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) ошибкой в ядре 4.15, внесённой в октябре прошлого года, и исправлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) в выпусках 4.18.19, 4.19.2 и 4.20-rc2. Проблема присутствует в функции map_write(), определённой в файле kernel/user_namespace.c, и вызвана некорректной обработкой вложенных пространств идентификаторов пользователей, в которых используется более 5 диапазонов UID или GID. В частности, трансляция из пространства идентификаторов в ядре работает корректно, но не выполняется при обратном преобразовании (из ядра в пространство идентификаторов).
Уязвимость присутствует в дистрибутивах, использующих ядро 4.15 и более новые выпуски, например, в Ubuntu 18.04/18.10 (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), Arch Linux (https://security.archlinux.org/) и Fedorа (https://bugzilla.redhat.com/show_bug.cgi?id=1652681) (в (Arch (https://security.archlinux.org/package/linux) и Fedora (https://bodhi.fedoraproject.org/updates/?releases=F28&type=s...) уже доступно ядро 4.19.2 с исправлением). RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-18955) и SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-18955) не подвержены проблеме. В Debian и Red Hat Enterprise Linux поддержка "user namespace" по умолчанию не активирована, но она включена в Ubuntu и Fedora.
URL: https://www.openwall.com/lists/oss-security/2018/11/16/1
Новость: https://www.opennet.ru/opennews/art.shtml?num=49649

Исходное сообщение
"Уязвимость в ядре Linux, позволяющая обойти ограничения user..." Отправлено opennews, 22-Ноя-18 21:04
В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей (user namespace) в основной набор идентификаторов выявлена (https://www.openwall.com/lists/oss-security/2018/11/16/1) уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1712) (CVE-2018-18955 (https://security-tracker.debian.org/tracker/CVE-2018-18955)), позволяющая непривилегированному пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства имён идентификаторов. Например, при использовании общей файловой системы в контейнере и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла /etc/shadow в основном окружении. Уязвимость вызвана (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) ошибкой в ядре 4.15, внесённой в октябре прошлого года, и исправлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) в выпусках 4.18.19, 4.19.2 и 4.20-rc2. Проблема присутствует в функции map_write(), определённой в файле kernel/user_namespace.c, и вызвана некорректной обработкой вложенных пространств идентификаторов пользователей, в которых используется более 5 диапазонов UID или GID. В частности, трансляция из пространства идентификаторов в ядре работает корректно, но не выполняется при обратном преобразовании (из ядра в пространство идентификаторов). Уязвимость присутствует в дистрибутивах, использующих ядро 4.15 и более новые выпуски, например, в Ubuntu 18.04/18.10 (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), Arch Linux (https://security.archlinux.org/) и Fedorа (https://bugzilla.redhat.com/show_bug.cgi?id=1652681) (в (Arch (https://security.archlinux.org/package/linux) и Fedora (https://bodhi.fedoraproject.org/updates/?releases=F28&type=s...) уже доступно ядро 4.19.2 с исправлением). RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-18955) и SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-18955) не подвержены проблеме. В Debian и Red Hat Enterprise Linux поддержка "user namespace" по умолчанию не активирована, но она включена в Ubuntu и Fedora. URL: https://www.openwall.com/lists/oss-security/2018/11/16/1 Новость: https://www.opennet.ru/opennews/art.shtml?num=49649

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей 
> (user namespace) в основной набор идентификаторов выявлена (https://www.openwall.com/lists/oss-security/2018/11/16/1) 
> уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1712) (CVE-2018-18955 
> (https://security-tracker.debian.org/tracker/CVE-2018-18955)), позволяющая непривилегированному 
> пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), 
> обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства 
> имён идентификаторов. Например, при использовании общей файловой системы в контейнере 
> и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла 
> /etc/shadow в основном окружении.

> Уязвимость вызвана (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6397fac4915a) 
> ошибкой в ядре 4.15, внесённой в октябре прошлого года, и исправлена 
> (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=d2f007dbe7e4c9583eea6eb04d60001e85c6f1bd) 
> в выпусках 4.18.19, 4.19.2 и 4.20-rc2. Проблема присутствует в функции map_write(), 
> определённой в файле kernel/user_namespace.c, и вызвана некорректной обработкой вложенных 
> пространств идентификаторов пользователей, в которых используется более 5 диапазонов 
> UID или GID. В частности, трансляция из пространства идентификаторов в ядре 
> работает корректно, но не выполняется при обратном преобразовании (из ядра в 
> пространство идентификаторов).

> Уязвимость присутствует в дистрибутивах, использующих ядро 4.15 и более новые выпуски, 
> например, в Ubuntu 18.04/18.10 (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-18955.html), 
> Arch Linux (https://security.archlinux.org/) и Fedorа (https://bugzilla.redhat.com/show_bug.cgi?id=1652681) 
> (в (Arch (https://security.archlinux.org/package/linux) и Fedora (https://bodhi.fedoraproject.org/updates/?releases=F28&type=security) 
>  уже доступно ядро 4.19.2 с исправлением). RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-18955) 
> и SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-18955) не подвержены 
> проблеме. В Debian и Red Hat Enterprise Linux поддержка "user namespace" 
> по умолчанию не активирована, но она включена в Ubuntu и Fedora.

> URL: https://www.openwall.com/lists/oss-security/2018/11/16/1 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49649

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру