The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от opennews (ok) on 30-Мрт-17, 10:30 
Опубликованы (http://openwall.com/lists/oss-security/2017/03/29/2) сведения о 0-day уязвимости в ядре Linux (CVE-2017-7184 (https://security-tracker.debian.org/tracker/CVE-2017-7184)), которая была использована на соревновании Pwn2Own 2017 (https://www.opennet.ru/opennews/art.shtml?num=46213) для демонстрации атаки на Ubuntu Linux, позволившей локальному пользователю выполнить код с правами root.


Уязвимость вызвана ошибкой во фреймворке преобразования сетевых пакетов XFRM (http://man7.org/linux/man-pages/man8/ip-xfrm.8.html), применяемом для реализации IPsec.  В функции
xfrm_replay_verify_len(), вызываемой из xfrm_new_ae(), не выполнялась проверка заданных пользователем параметров replay_window, записываемый в буфер состояний. Манипулируя содержимым, связанным с данным параметром, атакующий может организовать запись и чтение данных в области памяти ядра за пределами выделенного буфера.


Несмотря на то, что эксплуатация был продемонстрирвоана в Ubuntu, проблема не специфична для данного дистрибутива и проявляется в любых других системах на базе ядра Linux. Как и в нескольких (https://www.opennet.ru/opennews/art.shtml?num=45632) предыдущих (https://www.opennet.ru/opennews/art.shtml?num=43659) root-уязвимостях в ядре, проблема может быть эксплуатирована только при включении пространств имён для идентификаторов пользователей (user namespaces).
Например, пакеты с ядром для Ubuntu и Fedora уязвимы по умолчанию, а ядро Debian может быть атаковано только после активации поддержки "user namespaces" (sysctl kernel.unprivileged_userns_clone=1). Из-за отсутствия поддержки "user namespaces" атака также затруднена на старые системы версиями ядра меньше 3.9.

User namespaces используется для получения обычным пользователем прав CAP_NET_ADMIN, необходимых для настройки параметров XFRM. Так как создаваемое через user namespaces  изолированное окружение и основная система обслуживаются одним ядром Linux, то эксплуатация уязвимости в ядре позволяет обойти ограничения "user namespaces" и получить привилегированный доступ к основной системе.

Для ядра Linux исправление доступно в виде (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) патчей (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...). Обновления пакетов пока выпущены только для Ubuntu (https://www.ubuntu.com/usn/usn-3250-1/) и openSUSE, SUSE Linux Enerprise 12 (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-7184). Проблема остаётся неисправленной в Fedora (https://bodhi.fedoraproject.org/updates/?releases=F25&type=s...), Debian (https://security-tracker.debian.org/tracker/CVE-2017-7184) и CentOS/RHEL 7 (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-7184). Уязвимость не затрагивает SLE 11, RHEL 5 и RHEL 6.

URL: http://openwall.com/lists/oss-security/2017/03/29/2
Новость: https://www.opennet.ru/opennews/art.shtml?num=46281

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от grsec (ok) on 30-Мрт-17, 10:30 
> user namespaces

Уже в который раз.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +1 +/
Сообщение от Нанобот (ok) on 30-Мрт-17, 11:01 
вообще-то баг не в user namespaces, а в ipsec
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +5 +/
Сообщение от анон on 30-Мрт-17, 11:06 
Позволяющий руту получить права рута. Отличненько.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +3 +/
Сообщение от Аноним (??) on 30-Мрт-17, 11:14 
Полагаю, что не обязательно руту, а CAP_NET_ADMIN.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

40. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от Аноним (??) on 01-Авг-17, 14:36 
Позволяющая руту внутри _контейнера_, созданного непривилегированным пользователя, получить права рута на хосте.  
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  –3 +/
Сообщение от Аноним (??) on 30-Мрт-17, 11:11 
Если "фича" увеличивает область атаки на порядок, не является ли она сама уязвимостью?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +26 +/
Сообщение от Аноним (??) on 30-Мрт-17, 11:15 
> Если "фича" увеличивает область атаки на порядок, не является ли она сама уязвимостью?

Предлагаю удалить из ядра Linux сетевой стек. Во избежание.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  –3 +/
Сообщение от Аноним (??) on 30-Мрт-17, 11:54 
Удалять не стоит. А вот давать кому попало CAP_NET_ADMIN ­— глупо.

Но жадным долбоё**м хочется "чтоб Jango и Wordpress ставились из коробки без VPS". И все вдруг забывают, для чего нужен root, и почему давать кому-попало "полный но ограниченный" доступ к системе — плохая идея.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +3 +/
Сообщение от Аноним (??) on 30-Мрт-17, 12:20 
А зачем джанге и вордпрессу нет_админ? Они там интерфейсы конфигурируют? Или iptables настраивают?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  –3 +/
Сообщение от Аноним (??) on 30-Мрт-17, 12:35 
А нахрен вообще нужны user namespaces? Мне тоже непонятно.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от XXXasd (ok) on 30-Мрт-17, 14:42 
> А нахрен вообще нужны user namespaces? Мне тоже непонятно.

как минимум хотя бы для того чтобы любая пользовательская программа могла бы *снять* с себя часть своих возможностей -- через выполнение chroot.. (как вариант: chroot в пустой каталог)

то есть чтобы можно было бы выполнить chroot -- без root, без SUID и без Capabilities

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от Аноним (??) on 30-Мрт-17, 16:58 
А вы хотели бы, чтобы и для контейнеров, и для основной системы было одно и то же пространство пользователей? Т. е. один универсальный root на всех?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от Нанобот (ok) on 30-Мрт-17, 13:08 
>Если "фича" увеличивает область атаки на порядок, не является ли она сама уязвимостью?

нет, не является

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

24. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +1 +/
Сообщение от пох on 30-Мрт-17, 16:14 
> Если "фича" увеличивает область атаки на порядок, не является ли она сама
> уязвимостью?

контейнеризация, которой слепо доверяют в качестве единственной меры безопасности (а именно в этом случае бывае CAP_чтонибудь без реального рута) - да, безусловно, является ;-)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

26. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +2 +/
Сообщение от Michael Shigorin email(ok) on 30-Мрт-17, 16:38 
> контейнеризация, которой слепо доверяют в качестве единственной меры безопасности
> (а именно в этом случае бывае CAP_чтонибудь без реального рута) - да, безусловно,
> является ;-)


https://lists.altlinux.org/pipermail/sisyphus/2003-June/2431...
                                              ^^^^

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

32. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от pavlinux (ok) on 31-Мрт-17, 01:30 
В который раз? Оно только год,полтора как  из EXPEREMENTAL вылезло
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от Аноним (??) on 30-Мрт-17, 12:18 
> Атака также затруднена на старые системы с версиями ядра меньше 3.9 из-за отсутствия в них поддержки "user namespaces".

У рута затруднений не возникнет. Но вот только зачем ему это...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от пох on 30-Мрт-17, 16:14 
> У рута затруднений не возникнет. Но вот только зачем ему это...

из user namespace вылезать, разумеется. Пробив днищ...э, простите, контейнер.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от zfs (??) on 30-Мрт-17, 13:02 
> ядро Debian и RHEL/CentOS 7 может быть атаковано только после явной активации поддержки "user namespaces" (sysctl kernel.unprivileged_userns_clone=1).
>...
> Проблема остаётся неисправленной в Fedora, Debian и CentOS/RHEL 7

# lsb_release -a
LSB Version:    :core-4.1-amd64:core-4.1-noarch:cxx-4.1-amd64:cxx-4.1-noarch:desktop-4.1-amd64:desktop-4.1-noarch:languages-4.1-amd64:languages-4.1-noarch:printing-4.1-amd64:printing-4.1-noarch
Distributor ID:    CentOS
Description:    CentOS Linux release 7.3.1611 (Core)
Release:    7.3.1611
Codename:    Core
# uname -a
Linux gw 3.10.0-514.10.2.el7.x86_64 #1 SMP Fri Mar 3 00:04:05 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
# sysctl -a|grep userns

Но
# lxc-checkconfig |grep -i user
User namespace: enabled

Т.е. в системе напрочь отсутствует /proc/sys/kernel/unprivileged_userns_clone. Но LXC работает.
Зафиксили уже или я что-то не так понял?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от Аноним (??) on 30-Мрт-17, 13:10 
unprivileged_userns_clone позволяет любому пользователю (nobody и т.п.) создать себе namespace и сделать там себя "ограниченным" рутом, тем самым получив возможность использовать сплоит.

Если unprivileged_userns_clone отсутствует, уязвимость могут использовать только процессы, которые и так уже имеют рут внутри namespace. То есть тупо только для побега из namespace.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 30-Мрт-17, 14:21 
А, так вот о чём пару дней тому намёкивали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от zanswer CCNA RS on 30-Мрт-17, 17:29 
Уязвимость в функции реализующей IPSec Anti-replay механизм, я правильно понял?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  –2 +/
Сообщение от Анонимм (??) on 30-Мрт-17, 18:15 
Неплохая очередная причина вынести сетку в отдельное адресное пространство?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  –2 +/
Сообщение от pavlinux (ok) on 31-Мрт-17, 01:28 
Вот почему нужно собирать свои ядра, а не юзать дистрибные.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  –1 +/
Сообщение от Ivan_Pomidorov on 31-Мрт-17, 10:17 
Отличный подход для Enterprise-а!
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от пох on 31-Мрт-17, 18:52 
> Отличный подход для Enterprise-а!

у энтерпрайса размером поболее подвальной лавчонки как раз обычно есть билдферма, лишние руки для ее обслуживания и, иногда, другие поводы пересобирать ведра.
Только чем это поможет в данном случае (учитывая что ему запросто может быть нужен и ipsec, и namespaces) - загадка.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

39. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  –2 +/
Сообщение от Sem (??) on 03-Апр-17, 18:32 
Это даже не смешно. У вас представление об энтерпрайзе как сборище линукс-гиков?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

36. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  –1 +/
Сообщение от Аноним (??) on 31-Мрт-17, 18:07 
Топикстартер забыл упомянуть, что в Debian это некатит, потому, что
>Unprivileged user namespaces are disabled in Debian, this only affects

non-standard setups

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."  +/
Сообщение от Аноним (??) on 31-Мрт-17, 20:31 
> Топикстартер забыл упомянуть, что в Debian это некатит, потому, что

Вы невнимательно читали новость, там про это написано. "Например, пакеты с ядром для Ubuntu и Fedora уязвимы по умолчанию, а ядро Debian и RHEL/CentOS 7 может быть атаковано только после явной активации поддержки "user namespaces" (sysctl kernel.unprivileged_userns_clone=1)"

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor