The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.06.2016 20:41  Уязвимость в ядре Linux, позволяющая выйти из изолированного контейнера

В опубликованных несколько часов назад выпусках ядра Linux 3.14.73, 4.4.14 и 4.6.3 устранена критическая уязвимость (CVE-2016-4997), позволяющая локальному пользователю повысить свои привилегии или выполнить код с правами ядра. Уязвимость пока не устранена в дистрибутивах, обновление в процессе подготовки: SUSE, Ubuntu, Debian, RHEL.

Уязвимость присутствует в подсистеме netfilter и связана с недоработкой в обработчике setsockopt IPT_SO_SET_REPLACE. Проблема проявляется только при использовании пространств имён для изоляции сети и идентификаторов пользователей (user namespaces и network namespaces, сборка ядра с CONFIG_USER_NS=y и CONFIG_NET_NS=y). Так как user namespaces по умолчанию отключены в большинстве дистрибутивов, уязвимость представляет опасность в основном для систем, использующих изолированные контейнеры.

В обычных условиях вызов compat_setsockopt() может выполнить только пользователь root, но в ядрах с поддержкой пространств имён для сети и идентификаторов пользователей данное ограничение снимается и функциональность доступна для непривилегированного пользователя, работающего внутри контейнера (т.е. пользователь из контейнера может обойти изоляцию, выполнив код на уровне ядра). Детальное описание метода эксплуатации планируется обнародовать на следующей неделе.

Примечательно, что в списке изменений к новым выпускам факт исправления уязвимости никак не отмечен. Более того, исправления были предложены ещё для ветки 4.6-rc2 в апреле, без акцентирования внимания на наличие уязвимости, а начальный патч был подготовлен компанией Google, отправлен разработчикам ядра и использован в Chrome OS в начале марта.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Уязвимость в ядре Linux, позволяющая поднять привилегии через eCryptfs
  3. OpenNews: Уязвимость в rt-ядре RHEL, позволяющая выполнить команду SysRq, отправив пакет ICMP
  4. OpenNews: Представлена отдельная ветка ядра Linux с устранением уязвимостей
  5. OpenNews: Уязвимость в ядре Linux, позволяющая запустить код при подключении USB-устройства злоумышленника
  6. OpenNews: В ядре Linux обнаружена уязвимость, позволяющая поднять привилегии в системе
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: kernel, root
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:15, 25/06/2016 [ответить] [смотреть все]
  • +4 +/
    Настолько эпично А Selinux изолирует подобное ... весь текст скрыт [показать]
     
     
  • 2.6, Анжелика, 23:07, 25/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Любителей отключать selinux у нас столько, что даже если он и изолирует, это мал... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, grsec, 02:19, 26/06/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Безопасность != удобство.
     
  • 3.27, Аноним, 14:05, 26/06/2016 [^] [ответить] [смотреть все]  
  • –5 +/
    Вы так свято верите, что NSA SELinux защищает вас Подскажу, что ключевое слово ... весь текст скрыт [показать]
     
     
  • 4.31, exs, 17:38, 26/06/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Ключевое слово: _HUGE_ Performance impact
     
  • 4.39, Аноним, 00:09, 27/06/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты так говоришь, как будто NSA напихает бэкдоров в открытый код А потом они сам... весь текст скрыт [показать]
     
     
  • 5.43, ., 04:52, 27/06/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Святая простота Гугел настолько плотно работает со спецслужбами что ты так ... весь текст скрыт [показать]
     
     
  • 6.46, Аноним, 07:58, 27/06/2016 [^] [ответить] [смотреть все]  
  • +/
    Так они поди сливают по запросу с своих серверов, тем более что бизнес-аналитики... весь текст скрыт [показать]
     
  • 2.48, linuxUser, 16:45, 27/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    изолирует так что только отключатели селинукса в опасности ... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Онаним, 22:15, 25/06/2016 [ответить] [смотреть все]  
  • –3 +/
    А кто такой локальный пользователь в GNU Linux Есть какая-то принципиальная раз... весь текст скрыт [показать]
     
     
  • 2.3, Led, 22:30, 25/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Да... весь текст скрыт [показать] [показать ветку]
     
  • 2.4, Аноним, 22:31, 25/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Локальным всегда считался пользователь, имеющий аккаунт в системе и доступ к выполнению произвольного кода под своим uid.
     
     
  • 3.36, Ilya Indigo, 18:56, 26/06/2016 [^] [ответить] [смотреть все]  
  • +/
    А системный, по вашему, не имеет ни того и ни другого Он точно также имеет учёт... весь текст скрыт [показать]
     
  • 2.8, Ilya Indigo, 01:40, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    У локального пользователя пользовательская оболочка bin bash и установлен парол... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Аноним, 12:53, 26/06/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    А если usr bin csh и usr sbin nologin - это какие юзеры Локальные, глобальные... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 13:13, 26/06/2016 [^] [ответить] [смотреть все]  
  • +9 +/
    > А если /usr/bin/csh и /usr/sbin/nologin - это какие юзеры? Локальные, глобальные или
    > VIP?

    Поднятые некромантом или призванные демонологом.

     
     
  • 5.24, Аноним, 13:17, 26/06/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Аххаххах! 5 баллов! :)
     
  • 5.53, Нониус, 07:43, 29/06/2016 [^] [ответить] [смотреть все]  
  • +/
    Считается ли некромантологией случай, когда у демона хомяк в var empty а шеллом... весь текст скрыт [показать]
     
     
  • 6.54, Ilya Indigo, 07:35, 30/06/2016 [^] [ответить] [смотреть все]  
  • +/
    Это не никромантия, а какое-то костылестроение, или поттерство Системный хомяк ... весь текст скрыт [показать]
     
  • 4.35, Ilya Indigo, 18:49, 26/06/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Первый локальный, второй системный, при условии, что приведённые вами оболочки у... весь текст скрыт [показать]
     
     
  • 5.40, Аноним, 00:12, 27/06/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    А если шелло /usr/bin/dreamcatcher - это какой пользователь будет?
     
  • 2.12, Вареник, 03:49, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Локальный - это значит имеющий учетную запись в данной системе, могущий что-то з... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, _KUL, 06:52, 26/06/2016 [^] [ответить] [смотреть все]  
  • +/
    Допустим запрос HTTP что-то выполняет на сервере, но произвольной команды такой... весь текст скрыт [показать]
     
     
  • 4.28, Аноним, 14:12, 26/06/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну так это уже и есть удалённая эксплуатация уязвимости, т е без входа пользова... весь текст скрыт [показать]
     
  • 3.21, Аноним, 12:55, 26/06/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    А как запрос HTTP что-то выполняет на сервере, если у него юзера нет А если в а... весь текст скрыт [показать]
     
  • 1.5, chinarulezzz, 23:01, 25/06/2016 [ответить] [смотреть все]  
  • –2 +/
    >Уязвимость пока не устранена в дистрибутивах

    в Void с утра ядро 4.6.3

     
  • 1.7, Аноним, 23:58, 25/06/2016 [ответить] [смотреть все]  
  • –3 +/
    фигово, что не написано ничего про 2 6 32 с шестилетними бекпортами, а у ональны... весь текст скрыт [показать]
     
     
  • 2.9, Ilya Indigo, 01:47, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    1 О чём вы думали, когда вашим бизнес партнёрам RHEL без подписки предлагали вме... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Аноним, 09:45, 26/06/2016 [ответить] [смотреть все]  
  • –3 +/
    Пойду собирать вещи на Debian GNU HURD Уж ядро Линукс слишком костыльно и опасн... весь текст скрыт [показать]
     
     
  • 2.22, Аноним, 12:56, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +10 +/
    > Пойду собирать вещи на Debian GNU/HURD. Уж ядро Линукс слишком костыльно и
    > опасно. Возможно, и бэкдоры для спецслужб стоят годами.

    Лучше бы KDE под FreeBSD пропатчил, ей богу.

     
  • 2.26, Аноним, 13:23, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Да уж Для HURD сегодня уже даже некому ядро поддерживать, не то что бекдвери ту... весь текст скрыт [показать] [показать ветку]
     
  • 2.29, Аноним, 14:19, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так про один такой бекдор упомянула Анжелика выше ... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Аноним, 09:57, 26/06/2016 [ответить] [смотреть все]  
  • –3 +/
    о каких контейнерах вообще идет речь lxc вообще любых сообщение отредактиров... весь текст скрыт [показать]
     
     
  • 2.18, Аноним, 10:39, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Контейнеры в Linux только одни, отличаются лишь инструменты и мелкие детали доп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, all_glory_to_the_hypnotoad, 20:45, 26/06/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    В linux никаких контейнеров нет, есть только набор отдельных ядерных фич уже уп... весь текст скрыт [показать]
     
  • 1.49, Какаянахренразница, 20:45, 27/06/2016 [ответить] [смотреть все]  
  • +2 +/
    Демоны вылазят из контейнеров.
     
     
  • 2.50, Andrey Mitrofanov, 21:14, 27/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    > Демоны вылазят из контейнеров.

    :)
    Размуровались, демоны!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList