The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Локальная root-уязвимость в реализации сокетов AF_PACKET в ядре Linux

10.05.2017 22:06

Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, опубликовали технику эксплуатации уязвимости (CVE-2017-7308) в ядре Linux, позволяющей поднять свои привилегии в системе через передачу специально оформленных параметров при манипуляции с RAW-сокетами AF_PACKET.

Уязвимость проявляется в ядрах до 4.10.6 при включении сокетов AF_PACKET с поддержкой кольцевых буферов TPACKET_V3 ( "CONFIG_PACKET=y", в большинстве дистрибутивов включены по умолчанию). Проблема была выявлена в результате fuzzing-тестирования системных вызовов ядра Linux. Опубликован прототип эксплоита, работоспособного в Ubuntu 16.04.2 с ядром 4.8.0-41-generic с включенными механизмами защиты KASLR, SMEP и SMAP.

Уязвимость вызвана целочисленным переполнением в функции packet_set_ring() для сокетов AF_PACKET. Примечательно, что это вторая уязвимость в packet_set_ring() за последнее время, похожая проблема (CVE-2016-8655) была выявлена в конце прошлого года. Для атаки злоумышленник должен иметь полномочия CAP_NET_RAW, которые необходимы для создания сокетов AF_PACKET. В Ubuntu и Fedora данные полномочия можно получить через использование пространств имён идентификаторов пользователей (user namespace), которые включены по умолчанию.

В Ubuntu и Fedora проблема была устранена в апрельском обновлении пакетов с ядром. Для SUSE 12 и openSUSE исправление было выпущено несколько дней назад. Red Hat Enterprise Linux 5/6 и SUSE 11, проблеме не подвержены, а в RHEL 7 и Debian для эксплуатации требуется явное предоставление полномочий CAP_NET_RAW. В Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.

  1. Главная ссылка к новости (https://googleprojectzero.blog...)
  2. OpenNews: Локальная root-уязвимость в ядре Linux
  3. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии в системе
  4. OpenNews: Раскрыты подробности о root-уязвимости в ядре Linux, атакованной на Pwn2Own
  5. OpenNews: В Android и старых ядрах Linux устранена уязвимость, эксплуатируемая через отправку UDP-пакетов
  6. OpenNews: Предварительное сообщение об удалённой уязвимости в сетевом стеке ядра Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/46526-linux
Ключевые слова: linux, kernel
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (90) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Michael Shigorin (ok), 22:21, 10/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ...и опять userns... (в альте подумали и перевели в вид "если хочешь сидеть на этой пороховой бочке, включай своей рукой" как бы не ещё при первом CVE на сей счёт, помнится)
     
     
  • 2.3, Аноним (-), 22:30, 10/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Эти user namespaces, как и контейнеры со своим root-ом, просто раздолье для атак на системные вызовы, позволяя без назначения capabilities обращаться к любым подсистемам ядра.

    Итог: user namespaces и root-права в контейнере и без уязвимостей уже дыра в безопасности.

     
     
  • 3.42, Michael Shigorin (ok), 09:32, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Эти user namespaces, как и контейнеры со своим root-ом,
    > просто раздолье для атак на системные вызовы

    Именно.

     
     
  • 4.106, pavlinux (ok), 05:17, 17/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Причём тут namespaces, нехера преобразовывать типы в середине кода,
    чтоб заткнуть компилятор про сравнение unsigned и signed

    > (int)(req->tp_block_size - BLK_PLUS_PRIV(req_u->req3.tp_sizeof_priv)) <= 0)

     
  • 3.54, Аноним (-), 11:51, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Для контейнеров задавать Capabilities таки нужно.
     
  • 2.4, Аноним (-), 22:38, 10/05/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Я же говорил альт эта крута Шигорин обясни им
     
     
  • 3.5, Аноним (-), 22:52, 10/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спрашиваю не ради флейма а ради интереса: альт реально чем-то хуже десятка других дистров? Или ваше (и не только) отношение вызвано исключительно тем, что сотрудники альта тут пишут, а сотрудники вашей любимой федоры/убунты/дебиана/слаквари нет?
     
     
  • 4.7, Аноним (-), 23:15, 10/05/2017 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Иногда мне кажется, что Шигорин на самом деле сотрудник не альта, а какого-то другого конкурирующего дистрибутива, потому как никто не делает здесь для альта такую антирекламу, как Шигорин. Что касается технической части, то я также спрашивал у Шигорина, в чем преимущество у альта, на что он мне начал говорить про какое-то "договороспособное руководство". https://www.opennet.ru/openforum/vsluhforumID3/109979.html#6
     
     
  • 5.9, Sabakwaka (ok), 23:39, 10/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Каким там годом помечены последние движения на сайте АлтЛинух?
     
     
  • 6.10, о6какатрон (?), 23:56, 10/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    вы зря так , там очень прикольные обои
     
     
  • 7.13, Аноним (-), 00:14, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Вы хотели сказать нескучные, нескучные обои.
     
     
  • 8.26, Аноним (-), 08:07, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это же самое важное 1 В моём дистрибутиве очень ОЧЕНЬ скучные обои Срочно пере... текст свёрнут, показать
     
  • 5.11, freehck (ok), 00:06, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ребята, давайте на чистоту: вы не любите Мишу. Альт тут вообще не при чём. :)
    Сам Альт вообще не так уж плох. Сравнить с халтурой поделкой, типа Astra - так небо и земля.
     
     
  • 6.16, cmp (ok), 00:19, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Которую сравнить с поделкой попова, которую сравнить с результатом прыганья обезьян на клавиатуре.
     
  • 6.18, Crazy Alex (ok), 00:43, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Любой "национальный" дистр плох по определению, если это не проект по допиливанию чего-то более распространённого под нужды конкретной конторы/городской управы. И то грех такие штуки в виде отдельного дистрибутива организовывать.
     
     
  • 7.20, Аноним (-), 01:33, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Любой "национальный" дистр плох по определению

    Почему?
    Вот федора, например, типичный американский национальный дистр, воплощающий американские народные заморочки типа патентов на ПО.

     
     
  • 8.56, Аноним (-), 12:08, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А типичный российский нациоанальный дистр должен воплощать заморочки на тему рос... текст свёрнут, показать
     
     
  • 9.68, Аноним (-), 17:50, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Есть подозрение, что западные партнёры более продвинуты в этом распил вопросе ... текст свёрнут, показать
     
  • 8.59, dq0s4y71 (ok), 13:18, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Какой типичный американский национальный дистр Вы о чём The Fedora Project ... текст свёрнут, показать
     
     
  • 9.62, Аноним (-), 15:39, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    All your globes are belong to US ... текст свёрнут, показать
     
     
  • 10.74, dq0s4y71 (ok), 18:46, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Are не надо, просто belong А то вероятный противник вас сразу раскусит ... текст свёрнут, показать
     
     
  • 11.78, Аноним84701 (ok), 18:59, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Надо, Фёдор, надо http lurkmore to All_your_base_are_belong_to_us https en ... текст свёрнут, показать
     
     
  • 12.92, dq0s4y71 (ok), 13:53, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    popular Internet meme based on a broken English Engrish phrase ... текст свёрнут, показать
     
  • 8.89, Аноним (-), 08:54, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Fedora полигон для тестирования новых фич RHEL Более того, сделан по индивидуал... текст свёрнут, показать
     
  • 7.34, пох (?), 08:47, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    странное это у вас определение такие - и незачем, совершенно А универсальный... большой текст свёрнут, показать
     
  • 7.60, Адекват (ok), 14:03, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Любой "национальный" дистр плох по определению, если это не проект по допиливанию
    > чего-то более распространённого под нужды конкретной конторы/городской управы. И то грех
    > такие штуки в виде отдельного дистрибутива организовывать.

    Национальный дистр должен быть сделан с нуля, используя уже имеющиеся наработки, страна большая, матерых спецов полно, нефти и газа, чтобы им зарплату платить - тоже, если бы государству нужна была такая ось - давно бы была.

     
  • 7.66, freehck (ok), 17:21, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Любой "национальный" дистр плох по определению, если это не проект по допиливанию
    > чего-то более распространённого под нужды конкретной конторы/городской управы.

    Нет, конечно. Если патентное право какой-либо страны запрещает распространение или использование кода, то международный дистрибутив не имеет возможности включить этот код, даже если он востребован на рынке. Однако "национальный" дистрибутив в стране, не признающей эти патенты, вполне может поставлять их. В том числе "из коробки".

     
  • 6.33, Аноним (-), 08:43, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, насчет Астры я бы поспорил. Вот МСВС - другое дело.
     
  • 6.35, ann (??), 08:53, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен с анонимом чуть выше.
    Вот я лично ничего против ни Шигорина на Альта не имею. Альтом пользовался когда не было альтернатив (релиз 3), теперь не пользуюсь и пока не собираюсь.
    Но когда в каждой новости мне пишут про "великий альт" - вот это раздражает и да - это самая настоящая антиреклама.
     
     
  • 7.37, Аноним (-), 09:02, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Но когда в каждой новости мне пишут про "великий альт" - вот
    > это раздражает и да - это самая настоящая антиреклама.

    Чего-чего, не видел здесь ни одной новости с упоминанием Alt Linux, кроме непосредственных новостей про релизы Alt. Написание в комментариях к новости не значит впаривание чего-то в самой новости.

     
     
  • 8.48, Led (ok), 10:07, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Karpov, залогинься ... текст свёрнут, показать
     
  • 5.43, Michael Shigorin (ok), 09:37, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Мне на утверждениях подобной степени категоричности только более взвешенных, ка... большой текст свёрнут, показать
     
     
  • 6.96, Аноним (-), 18:07, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > > Иногда мне кажется, что Шигорин на самом деле сотрудник не альта
    > стоит в явном виде прописывать "IMHO";

    По-моему, тут и так указано, что это имхо. "Мне кажется" имхо и есть.

     
  • 4.12, freehck (ok), 00:10, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Спрашиваю не ради флейма а ради интереса: альт реально чем-то хуже десятка других дистров?

    Самое забавное, что нет. Местами даже лучше. Посмотрите на сизиф, hasher, gears. Ребята не фигнёй страдают - это точно.

    > Или ваше (и не только) отношение вызвано исключительно тем, что сотрудники альта тут пишут

    Сотрудники - сильно сказано. Тут пишет ровно один сотрудник Альта. )

     
     
  • 5.14, Sabakwaka (ok), 00:15, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Посмотрите на сизиф, hasher, gears.

    Смотрю. 14-й год.

     
  • 5.44, Michael Shigorin (ok), 09:38, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут пишет ровно один сотрудник Альта. )

    Ну почему -- порой заглядывает cas@ (Skull), изредка видал boyarsh@, sem@ и aen@ со smi@.  Но "пишу", пожалуй, и впрямь я.

     
  • 4.30, пох (?), 08:31, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    десятка - нет, ничем не хуже Чем вообще отличаются нормальные не узкоспециализ... большой текст свёрнут, показать
     
     
  • 5.45, Michael Shigorin (ok), 09:56, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Их можно включить, но именно волевым движением принимающего за это ответственнос... большой текст свёрнут, показать
     
     
  • 6.50, Онанимус (?), 10:35, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > ключевым фактором всё-таки будет общее состояние штатовской экономики.
    > Ну а мы пока на бережку и пакетики пособираем, и инфраструктурой продолжим заниматься.

    А что нам еще остается? Ведь с нашей экономикой уже все ясно (

     
     
  • 7.97, Michael Shigorin (ok), 12:14, 15/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А что нам еще остается? Ведь с нашей экономикой уже все ясно (

    Да, с экономикой достаточно неплохо.  И главное -- есть всё нужное, чтоб было не хуже.

    Лоботрясов, которые стенают за "режим" и не в состоянии сравнить с "благословенными девяностыми" без специальных очков, всерьёз принимать не получается.

     
  • 6.53, Сэмуэль (?), 11:47, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Ой не знаю, Dear Netch лет пять-семь тому не очень хорошо отзывался о вменяемости фрёвых разработчиков как сообщества -- мол, уж лучше net или open.

    Dear Netch это Валя Нечаев? По поводу вменяемости сообществ, у net своих проблем не меньше: https://habrahabr.ru/post/201618 как и у open (достаточно почитать орхивы misc@). парни из фрёвых могут нахамить иногда, это да, и средний уровень разработчиков подупал -- но это лишь следствие большей популярности и желания привлечь "новую кровь".

     
  • 4.55, Аноним (-), 11:57, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >альт реально чем-то хуже десятка других дистров?

    И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.

     
     
  • 5.57, пох (?), 12:33, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.

    для тех кто так и не понял, разжевываем: повелись не они, а разработчики прикладного софта - начиная от банального screen и заканчивая "десктопами". Без него - что-то с трудом собирается, что-то собирается но в нем что-нибудь не работает, или работает не так как привыкли. Судя по "блестящим" результатам деятельности проекта тухлыйдебиан https://www.opennet.ru/opennews/art.shtml?num=46504 - которые занимаются _только_ этим выпиливанием - из _готового_ проекта, где всего-то достаточно взять и пересобрать только то, что затронуто - задача уже не имеет решения в рамках универсального дистрибутива.

    Вы же первыми и начнете ныть, что "все глючит, и ничего нет".

     
     
  • 6.65, WoT (?), 16:51, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вы могли бы уточнить, какой screen имеется ввиду?

    Использую app-misc/screen на Gentoo, даже в use-флагах у него нет systemd.
    (сайт https://www.gnu.org/software/screen/)

     
     
  • 7.71, Сэмуэль (?), 18:19, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Поддерживаю: во фре тоже есть sysutils/screen при том что (слава богу) нет никакой системды.
     
     
  • 8.73, пох (?), 18:35, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    там как бы и x11 gnome3 _пока_ есть А на мелочи типа тут отвалится, там не рабо... текст свёрнут, показать
     
     
  • 9.79, Аноним (-), 19:42, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    На самом деле, та же сёрфилка и проигрыватель ютубных котиков через HDMI на теле... большой текст свёрнут, показать
     
     
  • 10.83, Сандибридж (?), 22:17, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Именно Настройка Фри сводится к нескольким строчкам в паре конфигов, и работает... текст свёрнут, показать
     
  • 10.84, пох (?), 00:14, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну да - привыкаешь что ничего до конца не работает в принципе, и успокаиваешься ... большой текст свёрнут, показать
     
     
  • 11.88, Аноним (-), 01:16, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно подумать, в окошках стояли поначалу на азусе и одном из тинкпадов все ра... большой текст свёрнут, показать
     
     
  • 12.91, пох (?), 12:54, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    УМВР, ЧЯДНТ ну я вот - знаю, как Правда, никогда не требовалось нет пульсы ... большой текст свёрнут, показать
     
     
  • 13.95, Аноним (-), 16:26, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык, было бы странно, если бы до сих пор не починили Но идея была 171 гени... большой текст свёрнут, показать
     
  • 10.99, Michael Shigorin (ok), 12:21, 15/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Необязательно же кидаться в крайности -- если не фря, так непременно убунта Дел... текст свёрнут, показать
     
  • 9.80, Аноним (-), 21:25, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Давно пора Только причём здесь systemd ... текст свёрнут, показать
     
     
  • 10.81, Аноним (-), 21:37, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так то ж Поттеринг изобрел Все знают, что до него никакой асинхронщины не было ... текст свёрнут, показать
     
     
  • 11.90, пох (?), 12:25, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    нет, он просто ловко включился в тренд до него - да, не было, были runlevel ы с... текст свёрнут, показать
     
  • 10.85, пох (?), 00:24, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вот ровно при том, что если старательно делать как в windows , то оно как в wi... текст свёрнут, показать
     
     
  • 11.100, Michael Shigorin (ok), 12:24, 15/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, затаскивание systemd как pid1 по умолчанию аргументируется именно им, наскол... текст свёрнут, показать
     
  • 9.82, Сандибридж (?), 22:05, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не нужно, как говорят на ЛОРе Да и вообще, мало ли дерьма в портах - В том-т... текст свёрнут, показать
     
     
  • 10.86, пох (?), 00:36, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну снеси эти полсистемы , и будет обратно почти фря Все равно в ней ты гом не ... текст свёрнут, показать
     
  • 7.72, пох (?), 18:28, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Использую app-misc/screen на Gentoo, даже в use-флагах у него нет systemd

    там utempter  - который нынче, насколько я успел понять, уже совсем не то, что было раньше (в systemd-богатых системах, у остальных он тупо суидный враппер для записи в wtmp или вовсе отсутствует + набор из трех функций для собственно записи сессии)
    поскольку, создавая сессию, уже практически невозможно избежать общения с этим чудом в виде его login-чтототам компоненты. Эх... всего десять лет назад я его удалял сразу после установки, без всяких последствий (разумеется, screen оставался suid root, designed to be)

     
     
  • 8.93, WoT (?), 13:53, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В этой теме первой идёт ветка с обсуждением АльтЛинукса, так что мне показалось ... текст свёрнут, показать
     
     
  • 9.94, пох (?), 15:52, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ls -la which screen дай угадаю - он окажется suid Или он там вообще сессий ... текст свёрнут, показать
     
     
  • 10.101, Michael Shigorin (ok), 12:34, 15/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    CODE ls -la which screen -rwx--s--x 1 root screen 438408 мар 9 19 47 usr ... текст свёрнут, показать
     
  • 6.98, Michael Shigorin (ok), 12:18, 15/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.

    http://altlinux.org/starterkits
    http://altlinux.org/sysvinit

    УМВР ;-)

    > задача уже не имеет решения в рамках универсального дистрибутива.

    Помимо эластичной составляющей, в этом сдвиге явно есть и упругая, сдаётся мне...

     
     
  • 7.102, пох (?), 20:47, 15/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > http://altlinux.org/sysvinit

    ну чего-то это как-то уже овердохрена "там подпилить, тут подрезать, и в результате все равно кое-что не выглядит идеально".

    К тому же я бы предпочел не патчить конфиги polkit, а отправить его туда же, куда и то, чем это уродище было порождено (флэшку я как-нибудь без него смонтирую - если оно мне зачем-то надо)
    Однако же ж: The following packages are going to be REMOVED:
      ConsoleKit ConsoleKit-x11 (ну это и досведание)
      [skip]
      kdelibs4 kdelibs4-core (казалось бы, причем тут...)
      pm-utils [здравствуйте, приехали] tightvnc [опа] xkeyboard-config xorg-x11 и так далее.

    windows, как он есть. Только "всем хуже".

     
     
  • 8.103, Michael Shigorin (ok), 15:24, 16/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да усилиями непосредственно заинтересованных потихоньку допинываем https for... текст свёрнут, показать
     

  • 1.6, A.Stahl (ok), 22:54, 10/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Исследователи безопасности из группы ... для предотвращения атак ... опубликовали технику эксплуатации уязвимости

    Они точно понимают значение слова "предотвращение"?

     
     
  • 2.8, Аноним (-), 23:27, 10/05/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Это ж гугл, им напару с мс не западло порасшатывать экосистему линуксов
     
  • 2.17, Аноним (-), 00:31, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Да, чувак, вот так вот предотвращают уязвимости: выявляют, сообщают разработчикам, а после исправления публикуют подробный отчёт, чтобы другие на те же грабли не наступали.
     
  • 2.19, Аноним (-), 01:31, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Они точно понимают значение слова "предотвращение"?

    Вы точно понимаете значение слов "устранено", "выпущено"?

    > В Ubuntu и Fedora проблема была устранена в апрельском обновлении пакетов с ядром. Для SUSE 12 и openSUSE исправление было выпущено несколько дней назад.

     

     
  • 2.27, iPony (?), 08:12, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Принцип "security through obscurity" неочень работает.
    Особенно, если это скрыто лично от тебя, но не от всех.
     

  • 1.22, Аноним (-), 02:21, 11/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Опубликован прототип эксплоита, работоспособного в Ubuntu 16.04.2 с ядром 4.8.0-41-generic с включенными механизмами защиты KASLR, SMEP и SMAP.

    А зачем тогда нужны механизмами защиты KASLR, SMEP и SMAP если они не защищают?

     
     
  • 2.29, llolik (ok), 08:27, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А они должны защитить вот прямо от всего? Для того, для чего они были придуманы - атаки затрудняют (некоторый и большой их класс делают невозможными), да, но предотвратить вообще всё - это нереально.
     

  • 1.28, XX1asd (?), 08:14, 11/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > должен иметь полномочия CAP_NET_RAW, которые необходимы для создания сокетов AF_PACKET. В Ubuntu и Fedora данные полномочия можно получить через использование пространств имён идентификаторов пользователей (user namespace)

    так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает использовать приложению raw-сокеты? не слишком ли жирно?

     
     
  • 2.32, пох (?), 08:34, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает
    > использовать приложению raw-сокеты? не слишком ли жирно?

    он для этого (и похожих вещей) как раз и предназначен. Сюрприз?

     
     
  • 3.39, XX1asd (?), 09:18, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а мне то казалось user_ns нужен чтобы *имитировать* повышенные привелегии, в то время как по факту программа так и остаётся в рамках своих лимитов...

    например chroot сделанный через user_ns -- не способен навредить остальным (в отличии от обычного рутового chroot)..

    но ведь raw-сокеты -- они то как раз *способны* навредить?!

     
     
  • 4.51, пох (?), 11:13, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > а мне то казалось user_ns нужен чтобы *имитировать* повышенные привелегии

    разумеется, нет - зачем тебе такая "имитация"?
    Он именно для полноценных повышенных привиллегий (с сохранением возможности их делегировать или, наоборот, сбросить), но замкнутых внутри песочницы. Чтобы не давать каждому пользователю, которому приспичило, полноценного рута, хотя бы даже и в виртуалке, сохранив хотя бы видимость контроля за инфраструктурой. Или не бегать за ними всеми выполнять их работу самому, не потому что они с  ней не справляются, а потому что побочные эффекты не могут предотвратить.

    Ну и как с любыми другими песочницами - песочек иногда высыпается сквозь дырки в бортиках. Поскольку именно эта a)новая b) модн...сложная - сыплется чаще, чем из примитивных.

    > но ведь raw-сокеты -- они то как раз *способны* навредить?!

    ну да. А без них - банальный ping не работает. И мы делаем его suid root, что, потенциально, способно навредить гораздо существенней, если вдруг в банальном парсере ключиков опять что-то прощелкали (а бывало). ping это, разумеется, утрированный пример - он простой, в нем проблем давно не видели. А когда задачка посложнее - неизвестно, какой подход окажется хуже.

     
     
  • 5.76, X3asd (ok), 18:57, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > банальный ping не работает

    раз в жизни для запуска ping -- можно и до настоящего root снизайти..

    ..а в контейнерах-всяких -- вообще ping не нужен.

    > ping это, разумеется, утрированный пример - он простой, в нем проблем давно не видели. А когда задачка посложнее - неизвестно, какой подход окажется хуже.

    других задачек где требовался бы сырой socket, кроме ping, особо и не выдумать

     
     
  • 6.87, пох (?), 01:16, 12/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > других задачек где требовался бы сырой socket, кроме ping, особо и не
    > выдумать

    банально не tcp и не udp, и подобных протоколов - мильен с тыщами и помимо icmp, вот сюрприз-то, елки-палки...
    Можно использовать raw, можно - AF_PACKET, хрен редьки абсолютно не слаще (первое не очень переносимое, второе именно в линуксах может желать странного, что на совсем специфичных системах недоступно), обоим рута или CAP_эквивалент подавать.

     
  • 3.40, XX1asd (?), 09:26, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает
    >> использовать приложению raw-сокеты? не слишком ли жирно?
    > он для этого (и похожих вещей) как раз и предназначен. Сюрприз?

    ты б ещё сказал что USER_NS предназначен чтобы эксплуатировать локальные уязвимости 😂😂😂🤣

     

  • 1.36, _Anon (?), 08:53, 11/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    хстате, скромно забыли, что баг привнесен в ядре 3.2 http://kernelnewbies.org/Linux_3.2 - см ссылки на конкретные коммиты для TPACKET_V3.

    Те, у кого 3.1 все еще считается "достаточно стабильным", ему не подвержены ни в каком виде.

     
  • 1.47, AlexYeCu_not_logged (?), 10:05, 11/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > В Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.
    > mediaserver

    Бггг.

     
     
  • 2.61, Аноним (-), 14:08, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И действительно, непонятно зачем медиасерверу AF_PACKET ? Ему вполне должно быть достаточно AF_LOCAL, AF_INET, AF_INET6.
     
     
  • 3.70, Alex (??), 18:04, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    igmp, например. Вообще, принимать или выдывать мультикастовый медиа-поток - одно из основных функциональностей для мультимедиа сейчас.
     
     
  • 4.77, X3asd (ok), 18:59, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > igmp, например. Вообще, принимать или выдывать мультикастовый медиа-поток - одно из основных
    > функциональностей для мультимедиа сейчас.

    для мультикаста не нужен AF_PACKET

     
     
  • 5.104, pavlinux (ok), 04:56, 17/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > для мультикаста не нужен AF_PACKET

    Вставь сниффер перед цифровым теликом и удивись

     

  • 1.67, Аноним (-), 17:34, 11/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    У меня эксплоит не заработал: https://dpaste.de/Dcvj
    Система Slackware64-14.2
     
     
  • 2.75, Ordu (ok), 18:53, 11/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Потребуй, чтобы заменили по гарантии.
     
  • 2.105, pavlinux (ok), 04:58, 17/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Опубликован прототип эксплоита

    Чтоб заработало нужно добавить пару строк в алгоритм прокладки.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру