एक सुरक्षा शोधकर्ता गिटहब द्वारा रिहा हाल ही में आपने एक भेद्यता की पहचान कर ली है (सीवीई-2020-16125) गनोम डिस्प्ले मैनेजर (जीडीएम) में, जो लॉगिन स्क्रीन प्रदर्शित करने के लिए जिम्मेदार है।
एक और भेद्यता के साथ संयुक्त अकाउंट्स-डेमन सेवा (अकाउंट्स-डेमन) में, समस्या कोड को रूट के रूप में चलाने की अनुमति देती है। यदि DBus के माध्यम से खाता डेमॉन सेवा तक पहुंचना असंभव है, तो भेद्यता प्रारंभिक कॉन्फ़िगरेशन उपयोगिता के गलत लॉन्च से जुड़ी है।
भेद्यता के बारे में
एक वंचित उपयोगकर्ता अकाउंट-डेमॉन प्रक्रिया को क्रैश कर सकता है या लटका दो, क्या परिस्थितियां निर्मित होंगी गनोम-इनिशियल-सेटअप उपयोगिता को जीडीएम के भीतर से चलाने के लिए, जिसके माध्यम से एक नया उपयोगकर्ता सूडो समूह के सदस्य के रूप में पंजीकरण कर सकता है, यानी रूट के रूप में प्रोग्राम चलाने की क्षमता रखता है।
आमतौर पर, GDM पहले उपयोगकर्ता को सेट करने के लिए gnome-initial-setup को कॉल करता है यदि सिस्टम में कोई खाता नहीं है. खातों के अस्तित्व का सत्यापन अकाउंट्स-डेमॉन से संपर्क करके किया जाता है। यदि निर्दिष्ट प्रक्रिया विफल हो जाती है, तो जीडीएम मानता है कि खाते गायब हैं और प्रारंभिक कॉन्फ़िगरेशन प्रक्रिया शुरू करता है।
शोधकर्ता ने डेमॉन-अकाउंट प्रक्रिया को बाधित करने के दो तरीकों की पहचान की: पहला (CVE-2020-16126) गलत विशेषाधिकार रीसेट के कारण है और दूसरा (CVE-2020-16127) ".pam_environment" फ़ाइल को संसाधित करने में विफल रहा।
इसके अलावा, डेमॉन-खातों में एक और भेद्यता पाई गई (CVE-2018-14036) गलत फ़ाइल पथ जाँच और सिस्टम पर मनमानी फ़ाइलों की सामग्री को पढ़ने की अनुमति देने के कारण.
अकाउंट-डेमॉन में कमजोरियां उबंटू डेवलपर्स द्वारा किए गए परिवर्तनों के कारण होती हैं और फ्रीडेस्कटॉप प्रोजेक्ट और डेबियन पैकेज से अकाउंट-डेमॉन के मुख्य कोड में दिखाई नहीं देती हैं।
CVE-2020-16127 मुद्दा उबंटू में जोड़े गए एक पैच में मौजूद है जो is_in_pam_environment फ़ंक्शन को लागू करता है, जो उपयोगकर्ता की होम निर्देशिका से .pam_environment फ़ाइल की सामग्री को पढ़ता है। यदि आप इस फ़ाइल के बजाय /dev/zero पर एक सिम्लिंक डालते हैं, तो खाता डेमॉन प्रक्रिया अनंत रीड ऑपरेशंस पर रुक जाती है और DBus के माध्यम से अनुरोधों का जवाब देना बंद कर देती है।
आधुनिक ऑपरेटिंग सिस्टम में किसी भेद्यता का शोषण करना इतना आसान होना असामान्य है। कुछ अवसरों पर, मैंने भेद्यता का फायदा उठाने के लिए कोड की हजारों पंक्तियाँ लिखी हैं।
अधिकांश आधुनिक कारनामों में जटिल तरकीबें शामिल होती हैं, जैसे ढेर पर वस्तुओं को धोखा देने के लिए मेमोरी भ्रष्टाचार भेद्यता का उपयोग करना, या TOCTOU भेद्यता का फायदा उठाने के लिए माइक्रोसेकंड परिशुद्धता के साथ एक फ़ाइल को सिम्लिंक के साथ बदलना।
इसलिए इन दिनों ऐसी भेद्यता ढूंढना अपेक्षाकृत दुर्लभ है जिसका फायदा उठाने के लिए कोडिंग कौशल की आवश्यकता नहीं होती है। मुझे यह भी लगता है कि भेद्यता को समझना आसान है, भले ही आपको उबंटू कैसे काम करता है या सुरक्षा अनुसंधान में अनुभव का कोई पूर्व ज्ञान नहीं है।
CVE-2020-16126 भेद्यता किसी अन्य पैच के कारण होती है जो कुछ DBus कॉल (उदाहरण के लिए org.freedesktop.Accounts.User.Setभाषा) को संसाधित करते समय वर्तमान उपयोगकर्ता के विशेषाधिकारों को रीसेट करता है।
खाता डेमॉन प्रक्रिया सामान्यतः रूट के रूप में चलती है, जो सामान्य उपयोगकर्ता को सिग्नल भेजने से रोकती है।
लेकिन अतिरिक्त पैच के लिए धन्यवाद, प्रक्रिया विशेषाधिकार रीसेट किए जा सकते हैं और उपयोगकर्ता एक सिग्नल भेजकर इस प्रक्रिया को समाप्त कर सकता है। हमला करने के लिए, बस विशेषाधिकारों (आरयूआईडी) को हटाने की शर्तें बनाएं और खाता डेमॉन प्रक्रिया में एक एसआईजीएसईजीवी या एसआईजीस्टॉप सिग्नल भेजें।
उपयोगकर्ता ग्राफ़िकल सत्र समाप्त करता है और टेक्स्ट कंसोल पर जाता है (Ctrl-Alt-F1).
ग्राफिकल सत्र समाप्त होने के बाद, जीडीएम लॉगिन स्क्रीन प्रदर्शित करने का प्रयास करता है, लेकिन अकाउंट्स-डेमन से प्रतिक्रिया प्राप्त करने का प्रयास करते समय हैंग हो जाता है।
SIGSEGV और SIGCONT सिग्नल कंसोल से खाता डेमॉन प्रक्रिया में भेजे जाते हैं, जिससे यह हैंग हो जाता है।
आप ग्राफ़िकल सत्र से बाहर निकलने से पहले भी सिग्नल भेज सकते हैं, लेकिन सत्र समाप्त करने के लिए समय निकालने के लिए आपको इसे देरी से करना होगा और सिग्नल भेजे जाने से पहले, जीडीएम के पास शुरू होने का समय था।
जीडीएम में खाता डेमॉन के लिए अनुरोध विफल हो जाता है और जीडीएम गनोम-इनिशियल-सेटअप उपयोगिता को कॉल करता है, जिसमें इंटरफ़ेस एक नया खाता बनाने के लिए पर्याप्त है।
GNOME 3.36.2 और 3.38.2 में भेद्यता ठीक कर दी गई है। उबंटू और उसके डेरिवेटिव में भेद्यता के शोषण की पुष्टि की गई है।
Fuente: https://securitylab.github.com