The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.11.2018 18:58  Уязвимость в ядре Linux, позволяющая обойти ограничения user namespace

В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей (user namespace) в основной набор идентификаторов выявлена уязвимость (CVE-2018-18955), позволяющая непривилегированному пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства имён идентификаторов. Например, при использовании общей файловой системы в контейнере и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла /etc/shadow в основном окружении.

Уязвимость вызвана ошибкой в ядре 4.15, внесённой в октябре прошлого года. Проблема исправлена в выпусках 4.18.19, 4.19.2 и 4.20-rc2. Уязвимость присутствует в функции map_write(), определённой в файле kernel/user_namespace.c, и вызвана некорректной обработкой вложенных пространств идентификаторов пользователей, в которых используется более 5 диапазонов UID или GID. В данных условиях трансляция идентификаторов uid/gid из пространства имён в ядро (forward map) работает корректно, но не выполняется при обратном преобразовании (reverse map, из ядра в пространство идентификаторов).

Возникает ситуация, когда идентификатор пользователя 0 (root) корректно сопоставляется с идентификатором 0 в ядре при прямом преобразовании, но не отражает реальной ситуации при обратном преобразовании, которое используется в проверках inode_owner_or_capable() и privileged_wrt_inode_uidgid(). Таким образом при обращении к inode ядро считает, что пользователь имеет должные полномочия, несмотря на то, что используется id 0 не из основного набора идентификаторов пользователей, а из отдельного пространства имён.

Уязвимость присутствует в дистрибутивах, использующих ядро 4.15 и более новые выпуски, например, в Ubuntu 18.04/18.10, Arch Linux и FedorаArch и Fedora уже доступно ядро 4.19.2 с исправлением). RHEL и SUSE не подвержены проблеме. В Debian и Red Hat Enterprise Linux поддержка "user namespace" по умолчанию не активирована, но она включена в Ubuntu и Fedora.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в Glibc, позволяющая поднять привилегии в системе
  3. OpenNews: Пятая уязвимость в реализации сокетов AF_PACKET ядра Linux
  4. OpenNews: Локальная root-уязвимость в ядре Linux
  5. OpenNews: Локальная root-уязвимость в реализации сокетов AF_PACKET в ядре Linux
  6. OpenNews: Раскрыты подробности о root-уязвимости в ядре Linux, атакованной на Pwn2Own
Автор новости: Мегазаычы
Тип: Проблемы безопасности
Ключевые слова: namespace, kernel, linux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Qwerty (??), 21:04, 22/11/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    >Уязвимость вызвана ошибкой в ядре 4.15

    Но виноваты всё равно контейнеры!

     
     
  • 2.2, Аноним (2), 21:14, 22/11/2018 [^] [ответить]    [к модератору]
  • +12 +/
    Но виноваты все равно корпорации и автор npm leftpad лично!
     
     
  • 3.4, .. (?), 21:24, 22/11/2018 [^] [ответить]    [к модератору]
  • +2 +/
    Поттеринга забыл же!
     
     
  • 4.9, Анонн (?), 21:45, 22/11/2018 [^] [ответить]    [к модератору]
  • +9 +/
    > Поттеринга забыл же!

    Что, передумали фиксить и вместо этого объявили нот-а-багом?

    Хотя то, что фанаты с незамутненной радостью и злорадством вынуждены пояснять "а вот тут Великий не виноват!", говорит уже о многом ))

     
  • 3.13, Аноним (13), 22:33, 22/11/2018 [^] [ответить]     [к модератору]
  • –5 +/
    А не так что ли Классических, понятных ugo rwx с нашлёпкой в виде chroot хватае... весь текст скрыт [показать]
     
     
  • 4.14, Анонн (?), 22:41, 22/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Очевидно же, что это все происки Заклятых Врагов code man jail HISTORY T... весь текст скрыт [показать]
     
     
  • 5.19, Sw00p aka Jerom (?), 23:25, 22/11/2018 [^] [ответить]    [к модератору]  
  • –5 +/
    джейлы бсдешные тоже не торт, там тоже маппить нужно юиды/гиды, чтобы в топе(в системе) норм видеть а не неизвестные.
     
     
  • 6.58, bOOster (ok), 15:24, 24/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    uid/gid возьми из LDAP и будет тебе счастье где только угодно.
     
     
  • 7.59, Sw00p aka Jerom (?), 16:03, 24/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > uid/gid возьми из LDAP и будет тебе счастье где только угодно.

    ради одного узера в джейле мне лдап наворачивать? легче в самой системе такого же юзера создать

     
  • 5.47, нах (?), 13:52, 23/11/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    одна проблема - jail тоже требует рутовых прав - и не просто так это делает А и... весь текст скрыт [показать]
     
     
  • 6.69, Sw00p aka Jerom (?), 22:51, 04/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > одна проблема - jail тоже требует рутовых прав - и не просто
    > так это делает. А иначе будет:
    > jail: jail_set: Operation not permitted
    > никакого тебе userns...
    > Потому что jail - он как раз об изоляции и безопасности, а
    > не о том как уйти от dependency hell путем наворачивания слоев
    > поверх слоев поверх слоев.

    бесит за столько лет нормальный процесс монтирования и отмонтирования не придумали, крешится джейл процесс, а маунты висят, и хрен запустишь если не отмонтируешь.

     
  • 4.17, КГБ СССР (?), 23:04, 22/11/2018 [^] [ответить]    [к модератору]  
  • +9 +/
    Корпораций лишь в том смысле, что это попытка пресловутой экономии на персонале, то есть использовании копченных принесиподаев заместо квалифицированных админов и юзеров. Защита от дурака для дурака, если кратко. Но из этого ничего заведомо не может получиться хорошего, потому что это нарушение принципов юникса (та самая избирательность в выборе друзей, ага). А все такие нарушения ломают его целостность и приводят к предсказуемым последствиям. Не может любая домохозяйка управлять сложной системой, требующей реальных знаний и глубокого понимания. Не получается чуда.

    Но корпорации корпорациями, а эти поветрия находят большой энтузиазм в рядах кибервасянов, только что слезших с пальмы. Происходит повсеместно внедрение в защиту того элемента, от которого, собственно, она должна защищать.

    Единственное, что можно сказать в качестве резюме по таким случаям — что скупой платит дважды. Нельзя экономить на мозгах. Нельзя нанимать дураков на сложные задачи.

     
     
  • 5.21, Аноним (13), 23:50, 22/11/2018 [^] [ответить]    [к модератору]  
  • +/
    >Но корпорации корпорациями, а эти поветрия находят большой энтузиазм в рядах кибервасянов

    Да, пожалуй, это пострашней будет.

     
  • 4.64, Аноним (-), 09:32, 03/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Проблема только в том что безопасность это если и улучшает то очень маргинально ... весь текст скрыт [показать]
     
  • 3.22, псевдонимус (?), 23:57, 22/11/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    До чего же дырявы линукс-контейнеры.
     
     
  • 4.27, Онаним (?), 00:57, 23/11/2018 [^] [ответить]    [к модератору]  
  • +/
    До чего же дырявы контейнеры.
    Fixed.
     
     
  • 5.61, Аноним (-), 09:19, 03/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Так чтоб оно дырявым не было - ядро изнавально должно было писаться с учетом так... весь текст скрыт [показать]
     
  • 2.3, Аноним (3), 21:18, 22/11/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > >Уязвимость вызвана ошибкой в ядре 4.15
    > Но виноваты всё равно контейнеры!

    Да, эти все "спейсыс" - для контейнеров.

     
  • 2.12, Anon9999 (?), 22:12, 22/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Но виновато всеравно сообщество, которое написало GNU/Linux!
     
  • 2.16, Аноним (16), 23:02, 22/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Прочитал "мейнтейнеры", в принципе, разницы нет.
     
  • 2.23, псевдонимус (?), 00:00, 23/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Естественно. В линуксе они тот ещё шлак с точки зрения безопасности.
     
     
  • 3.26, Michael Shigorin (ok), 00:54, 23/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > Естественно. В линуксе они тот ещё шлак с точки зрения безопасности.

    Контейнеры-то?  Ну сломайте мне ovz.

     
     
  • 4.28, Led (ok), 01:49, 23/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Ну сломайте мне ovz >= 4.15

    /fixed

     
  • 4.33, Аноним (33), 05:52, 23/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Мишень - OpenVZ это такое дикое глюкало... его ломать не надо - оно просто падает при определенных нагрузках.
    Тем более официально 'stable'  там как г. мамонта - 2.6.32..
     
     
  • 5.39, agent_007 (ok), 10:27, 23/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    OVZ это единственные лiнупс контейнеры, которые работают, несмотря на ряд недостатков.
     
     
  • 6.43, нах (?), 13:42, 23/11/2018 [^] [ответить]     [к модератору]  
  • +/
    но поскольку совместимость с современным софтом у ядра 2 6 примерно никакая - бо... весь текст скрыт [показать]
     
     
  • 7.48, Michael Shigorin (ok), 13:55, 23/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > но поскольку совместимость с современным софтом у ядра 2.6

    В контейнере оно покажется 3.2, помнится.

     
     
  • 8.49, Аноним (49), 14:46, 23/11/2018 [^] [ответить]    [к модератору]  
  • +/
    что установишь в текстовой строчке - так и будет. хоть 99.01
     
  • 8.65, Аноним (-), 09:33, 03/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > В контейнере оно покажется 3.2, помнится.

    Я вам на любом ядре покажу любую цифирь. И чего? Как максимум это позволит программам глючить чаще и больше.

     
  • 7.53, agent_007 (ok), 16:22, 23/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > поскольку совместимость с современным софтом у ядра 2.6 примерно никакая

    И с каким "современным софтом" несовместим 2.6.32 из RHEL6 ?


     
  • 7.57, Аноним (57), 18:23, 23/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Софт не обращается к ядру напрямую и не видит ядра, софт работает с libc
     
  • 4.36, псевдонимус (?), 07:47, 23/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Так опенвз постоянно критикуют поклонники продукции рэдхэт, говорят что они не р... весь текст скрыт [показать]
     
     
  • 5.44, нах (?), 13:42, 23/11/2018 [^] [ответить]    [к модератору]  
  • +/
    просто у той корпорации это получается, а виртуозы застряли в ядре 2.6

     
     
  • 6.50, Аноним (49), 14:51, 23/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    у vz когда-то тоже получалось, но привычка к закрытию кода, и тот факт что разбежались разработчики (посмотрев кто работал над 2.6.32 и сейчас).
     
     
  • 7.52, Michael Shigorin (ok), 15:28, 23/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > и тот факт что разбежались разработчики

    А это болотников "благодарить" надо -- Монахову мозги проэксплойтили, в итоге потеряли мотор проекта в виде Кирилла.

     
     
  • 8.63, Аноним (-), 09:30, 03/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Да кто им мозги эксплойтил с их менеджментом Такая уверенность фирмы в том что ... весь текст скрыт [показать]
     
  • 4.62, Аноним (-), 09:24, 03/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Погуглите openvz exploit , чего уж там Другое дело что бесплатно вам это никто... весь текст скрыт [показать]
     
  • 1.5, Синяя птица (?), 21:28, 22/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Ну вот опять
     
     
  • 2.20, Онвонин Николаевич (?), 23:49, 22/11/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Никогда такого не было.
     
  • 1.6, ананим.orig (?), 21:30, 22/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > Например, при использовании общей файловой системы

    А посему общими должны быть только файло-помойки.

    Да! Вот почему в proxmox обновление ядра прилетело.

     
  • 1.7, Аноним (7), 21:33, 22/11/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    вот эти ребята Signed-off-by Christian Brauner christian brauner ubuntu com ... весь текст скрыт [показать]
     
     
  • 2.34, Акакжев (?), 06:39, 23/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > вот эти ребята:
    > Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

    Примечательно, что LTS ветка ядра -- 4.14, а в Ubuntu используют 4.15

     
  • 1.8, КГБ СССР (?), 21:39, 22/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > RHEL и SUSE не подвержены проблеме. В Debian и Red Hat Enterprise Linux поддержка "user namespace" по умолчанию не активирована, но она включена в Ubuntu и Fedora.

    Так-то! Выбирай сердцем, голосуй кошельком. :)

    Ещё у кого-то есть вопросы про блидинг едж? :)

     
     
  • 2.11, Аноним (-), 21:57, 22/11/2018 [^] [ответить]    [к модератору]  
  • +/
    А ничего что в дистрах с отрубленными user namespaces, те же вещи делаются только с правами рута?
     
     
  • 3.15, КГБ СССР (?), 22:54, 22/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Какие конкретно вещи В нормальных юниксах ничего не должно делаться от рута юзе... весь текст скрыт [показать]
     
     
  • 4.32, Ordu (ok), 04:11, 23/11/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Это всё влажные мечты Да было бы круто, если бы к каждому пользователю убунты п... весь текст скрыт [показать]
     
     
  • 5.41, OS2 (?), 13:21, 23/11/2018 [^] [ответить]     [к модератору]  
  • +/
    То есть, то что кибервасяны-сантехники, переодически ходят и починяют пользовате... весь текст скрыт [показать]
     
     
  • 6.45, нах (?), 13:44, 23/11/2018 [^] [ответить]     [к модератору]  
  • +/
    да мы и линуксы ТАК починить могем - reboot install next next format - yes ok ... весь текст скрыт [показать]
     
     
  • 7.66, Аноним (66), 09:36, 03/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Да нет там никакого next и формата как такового Придет автоматическая система д... весь текст скрыт [показать]
     
  • 2.31, annual slayer (?), 03:49, 23/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ещё у кого-то есть вопросы про блидинг едж? :)

    (в Arch и Fedora уже доступно ядро 4.19.2 с исправлением)

     
     
  • 3.46, нах (?), 13:45, 23/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    а что именно в нем нового поломали - владельцы узнают немного позже.

     
  • 1.10, Аноним (10), 21:49, 22/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Если ваши контейнеры которые имеют доступ в сеть имеют флаг cap_sys_admin это уже проблема в голове.
     
     
  • 2.24, mimocrocodile (?), 00:07, 23/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Весь смысл контейнеров, чтобы иметь изолированный root
     
     
  • 3.25, Аноним (10), 00:37, 23/11/2018 [^] [ответить]    [к модератору]  
  • +/
    cap_sys_admin это уже деизоляция.
     
     
  • 4.67, Аноним (66), 09:37, 03/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > cap_sys_admin это уже деизоляция.

    Это по задумке фэйковый рут. Карманный. Имеющий полномочия только в своем загончике.

     
  • 1.18, Michael Shigorin (ok), 23:11, 22/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > userns

    Следующий!

     
     
  • 2.42, нах (?), 13:39, 23/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    а пока ты просто даешь рута основной системы всем, кому нужно банально запустить что-то в контейнере?

    Ну продолжайте, продолжайте...

     
     
  • 3.51, Аноним (49), 14:52, 23/11/2018 [^] [ответить]    [к модератору]  
  • +/
    sudo с привязкой к паре юзер - прикладуха ?
     
     
  • 4.60, angra (ok), 05:31, 26/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Это типа лечения подорожником. Применять можно только по причине невежества.
    Приложения в своей работе обычно читают и пишут файлы. Путем всяких хитрых манипуляций их можно заставить читать и писать совсем не те файлы, на которые рассчитывал дающий sudo.
     
  • 4.68, Аноним (66), 09:38, 03/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > sudo с привязкой к паре юзер - прикладуха ?

    И в результате этот юзер потом сможет сисколами по всей системе шариться, в основном namespace. Делая многовато лишнего.

     
  • 3.56, Аноним (56), 17:19, 23/11/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Глупый живящий в собственном коде.
     
  • 1.35, Пользователь (?), 06:41, 23/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Только разработчики ядра добавляют бэкдор и тут же их планы раскрывают..
     
  • 1.40, Аноним (40), 10:35, 23/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Ну тут одно из двух, либо ошибка в ядре, либо манифест приличного поведения института благородных девиц.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor