The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.06.2016 20:41  Уязвимость в ядре Linux, позволяющая выйти из изолированного контейнера

В опубликованных несколько часов назад выпусках ядра Linux 3.14.73, 4.4.14 и 4.6.3 устранена критическая уязвимость (CVE-2016-4997), позволяющая локальному пользователю повысить свои привилегии или выполнить код с правами ядра. Уязвимость пока не устранена в дистрибутивах, обновление в процессе подготовки: SUSE, Ubuntu, Debian, RHEL.

Уязвимость присутствует в подсистеме netfilter и связана с недоработкой в обработчике setsockopt IPT_SO_SET_REPLACE. Проблема проявляется только при использовании пространств имён для изоляции сети и идентификаторов пользователей (user namespaces и network namespaces, сборка ядра с CONFIG_USER_NS=y и CONFIG_NET_NS=y). Так как user namespaces по умолчанию отключены в большинстве дистрибутивов, уязвимость представляет опасность в основном для систем, использующих изолированные контейнеры.

В обычных условиях вызов compat_setsockopt() может выполнить только пользователь root, но в ядрах с поддержкой пространств имён для сети и идентификаторов пользователей данное ограничение снимается и функциональность доступна для непривилегированного пользователя, работающего внутри контейнера (т.е. пользователь из контейнера может обойти изоляцию, выполнив код на уровне ядра). Детальное описание метода эксплуатации планируется обнародовать на следующей неделе.

Примечательно, что в списке изменений к новым выпускам факт исправления уязвимости никак не отмечен. Более того, исправления были предложены ещё для ветки 4.6-rc2 в апреле, без акцентирования внимания на наличие уязвимости, а начальный патч был подготовлен компанией Google, отправлен разработчикам ядра и использован в Chrome OS в начале марта.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Уязвимость в ядре Linux, позволяющая поднять привилегии через eCryptfs
  3. OpenNews: Уязвимость в rt-ядре RHEL, позволяющая выполнить команду SysRq, отправив пакет ICMP
  4. OpenNews: Представлена отдельная ветка ядра Linux с устранением уязвимостей
  5. OpenNews: Уязвимость в ядре Linux, позволяющая запустить код при подключении USB-устройства злоумышленника
  6. OpenNews: В ядре Linux обнаружена уязвимость, позволяющая поднять привилегии в системе
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: kernel, root
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:15, 25/06/2016 [ответить] [смотреть все]     [к модератору]
  • +4 +/
    Настолько эпично А Selinux изолирует подобное ... весь текст скрыт [показать]
     
     
  • 2.6, Анжелика, 23:07, 25/06/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Любителей отключать selinux у нас столько, что даже если он и изолирует, это мал... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, grsec, 02:19, 26/06/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Безопасность != удобство.
     
  • 3.27, Аноним, 14:05, 26/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    Вы так свято верите, что NSA SELinux защищает вас Подскажу, что ключевое слово ... весь текст скрыт [показать]
     
     
  • 4.31, exs, 17:38, 26/06/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Ключевое слово: _HUGE_ Performance impact
     
  • 4.39, Аноним, 00:09, 27/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ты так говоришь, как будто NSA напихает бэкдоров в открытый код А потом они сам... весь текст скрыт [показать]
     
     
  • 5.43, ., 04:52, 27/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Святая простота Гугел настолько плотно работает со спецслужбами что ты так ... весь текст скрыт [показать]
     
     
  • 6.46, Аноним, 07:58, 27/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так они поди сливают по запросу с своих серверов, тем более что бизнес-аналитики... весь текст скрыт [показать]
     
  • 2.48, linuxUser, 16:45, 27/06/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    изолирует так что только отключатели селинукса в опасности ... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Онаним, 22:15, 25/06/2016 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    А кто такой локальный пользователь в GNU Linux Есть какая-то принципиальная раз... весь текст скрыт [показать]
     
     
  • 2.3, Led, 22:30, 25/06/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Да... весь текст скрыт [показать] [показать ветку]
     
  • 2.4, Аноним, 22:31, 25/06/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    Локальным всегда считался пользователь, имеющий аккаунт в системе и доступ к выполнению произвольного кода под своим uid.
     
     
  • 3.36, Ilya Indigo, 18:56, 26/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А системный, по вашему, не имеет ни того и ни другого Он точно также имеет учёт... весь текст скрыт [показать]
     
  • 2.8, Ilya Indigo, 01:40, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    У локального пользователя пользовательская оболочка bin bash и установлен парол... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Аноним, 12:53, 26/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    А если usr bin csh и usr sbin nologin - это какие юзеры Локальные, глобальные... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 13:13, 26/06/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    > А если /usr/bin/csh и /usr/sbin/nologin - это какие юзеры? Локальные, глобальные или
    > VIP?

    Поднятые некромантом или призванные демонологом.

     
     
  • 5.24, Аноним, 13:17, 26/06/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Аххаххах! 5 баллов! :)
     
  • 5.53, Нониус, 07:43, 29/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Считается ли некромантологией случай, когда у демона хомяк в var empty а шеллом... весь текст скрыт [показать]
     
     
  • 6.54, Ilya Indigo, 07:35, 30/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это не никромантия, а какое-то костылестроение, или поттерство Системный хомяк ... весь текст скрыт [показать]
     
  • 4.35, Ilya Indigo, 18:49, 26/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Первый локальный, второй системный, при условии, что приведённые вами оболочки у... весь текст скрыт [показать]
     
     
  • 5.40, Аноним, 00:12, 27/06/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    А если шелло /usr/bin/dreamcatcher - это какой пользователь будет?
     
  • 2.12, Вареник, 03:49, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Локальный - это значит имеющий учетную запись в данной системе, могущий что-то з... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, _KUL, 06:52, 26/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Допустим запрос HTTP что-то выполняет на сервере, но произвольной команды такой... весь текст скрыт [показать]
     
     
  • 4.28, Аноним, 14:12, 26/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Ну так это уже и есть удалённая эксплуатация уязвимости, т е без входа пользова... весь текст скрыт [показать]
     
  • 3.21, Аноним, 12:55, 26/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А как запрос HTTP что-то выполняет на сервере, если у него юзера нет А если в а... весь текст скрыт [показать]
     
  • 1.5, chinarulezzz, 23:01, 25/06/2016 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    >Уязвимость пока не устранена в дистрибутивах

    в Void с утра ядро 4.6.3

     
  • 1.7, Аноним, 23:58, 25/06/2016 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    фигово, что не написано ничего про 2 6 32 с шестилетними бекпортами, а у ональны... весь текст скрыт [показать]
     
     
  • 2.9, Ilya Indigo, 01:47, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    1 О чём вы думали, когда вашим бизнес партнёрам RHEL без подписки предлагали вме... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Аноним, 09:45, 26/06/2016 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Пойду собирать вещи на Debian GNU HURD Уж ядро Линукс слишком костыльно и опасн... весь текст скрыт [показать]
     
     
  • 2.22, Аноним, 12:56, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +10 +/
    > Пойду собирать вещи на Debian GNU/HURD. Уж ядро Линукс слишком костыльно и
    > опасно. Возможно, и бэкдоры для спецслужб стоят годами.

    Лучше бы KDE под FreeBSD пропатчил, ей богу.

     
  • 2.26, Аноним, 13:23, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Да уж Для HURD сегодня уже даже некому ядро поддерживать, не то что бекдвери ту... весь текст скрыт [показать] [показать ветку]
     
  • 2.29, Аноним, 14:19, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Так про один такой бекдор упомянула Анжелика выше ... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Аноним, 09:57, 26/06/2016 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    о каких контейнерах вообще идет речь lxc вообще любых сообщение отредактиров... весь текст скрыт [показать]
     
     
  • 2.18, Аноним, 10:39, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Контейнеры в Linux только одни, отличаются лишь инструменты и мелкие детали доп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, all_glory_to_the_hypnotoad, 20:45, 26/06/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    В linux никаких контейнеров нет, есть только набор отдельных ядерных фич уже уп... весь текст скрыт [показать]
     
  • 1.49, Какаянахренразница, 20:45, 27/06/2016 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Демоны вылазят из контейнеров.
     
     
  • 2.50, Andrey Mitrofanov, 21:14, 27/06/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    > Демоны вылазят из контейнеров.

    :)
    Размуровались, демоны!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor