Tiga kerentanan telah diidentifikasi yang memungkinkan penyerang yang tidak memiliki hak istimewa untuk meningkatkan hak istimewanya pada sistem dan jalankan kode sebagai root di systemd-journald yang bertanggung jawab untuk masuk ke systemd.
Kerentanan terwujud di semua distribusi yang menggunakan systemd, Dengan pengecualian SUSE Linux Enterprise 15, openSUSE Leap 15.0, dan Fedora 28/29, di mana komponen systemd dirakit dengan penyertaan "-fstack-clash-protection".
Apakah kerentanan itu?
Kerentanan sudah terdaftar di CVE-2018-16864 y CVE-2018-16865 memungkinkan Anda membuat kondisi untuk menulis data di luar batas blok memori yang dialokasikan, sementara kerentanan CVE-2018-16866 memungkinkan Anda membaca konten di area memori eksternal.
Para peneliti telah menyiapkan prototipe eksploitasi yang berfungsi yang menggunakan kerentanan CVE-2018-16865 dan CVE-2018-16866.
Untuk apa yang dirinci tentang kerentanan ini para peneliti Mereka memberi tahu kami bahwa ini memungkinkan untuk mendapatkan hak akses root setelah sekitar 10 menit serangan pada sistem arsitektur i386 dan 70 menit pada sistem amd64.
Eksploitasi ini telah diuji pada Debian 9.5.
Mereka juga menjelaskan bahwa:
Saat eksploitasi ditulis, Teknik Stack Сlash digunakan, intinya adalah membuat kondisi saat konten heap yang meluap berada di area tumpukan atau, sebaliknya, tumpukan dapat menulis ulang area heap.
Yang memanifestasikan dirinya dalam situasi di mana tumpukan dan heap ditempatkan berdekatan satu sama lain (area tumpukan segera mengikuti memori yang dialokasikan untuk heap).
Eksploitasi yang diusulkan mengkonfirmasi asumsi bahwa perlindungan terhadap serangan kelas Stack Сlash di tingkat kernel Linux tidak cukup.
Pada saat yang sama, serangan tersebut berhasil diblokir saat membangun kembali GCC dengan opsi "-fstack-clash-protection" diaktifkan.
Tentang kerentanan
Kerentanan CVE-2018-16864 ditemukan setelah menganalisis situasi saat mentransfer aplikasi yang menyimpan data ke log melalui panggilan ke syslog (), sejumlah besar argumen baris perintah (beberapa megabyte) menyebabkan macetnya proses systemd-journald.
Analisis menunjukkan bahwa dengan memanipulasi string dengan argumen baris perintah, antrian tumpukan terkontrol dapat ditempatkan di awal tumpukan.
Tetapi untuk serangan yang berhasil, perlu untuk melewati teknik perlindungan halaman perlindungan tumpukan yang digunakan di kernel., yang esensinya ada dalam substitusi halaman memori batas. untuk memunculkan pengecualian (kesalahan halaman).
Untuk melewati perlindungan ini secara paralel systemd-journald dimulai dalam “kondisi balapan”, Memberikan waktu untuk menangkap proses kontrol runtuh karena entri memori halaman, hanya-baca.
Dalam proses mempelajari kerentanan pertama, dua masalah lagi muncul.
Kerentanan kedua CVE-2018-16865 memungkinkan Anda membuat kondisi hamparan Stack Сlash serupa dengan menulis pesan yang sangat besar ke file run / systemd / journal / socket.
Kerentanan ketiga CVE-2018-16866 bermanifestasi jika Anda mengirim pesan syslog dengan karakter ":" terakhir.
Karena kesalahan dalam penguraian string, string penghentian '\ 0' setelah itu akan dibuang dan rekaman akan berisi bagian penyangga di luar '\ 0', memungkinkan Anda untuk mengetahui alamat tumpukan dan mmap.
- Kerentanan CVE-2018-16864 telah terlihat sejak April 2013 (muncul di systemd 203), tetapi hanya cocok untuk operasi setelah perubahan ke systemd 230 pada Februari 2016.
- Kerentanan CVE-2018-16865 telah terbukti sejak Desember 2011 (systemd 38) dan tersedia untuk operasi mulai April 2013 (systemd 201).
- Masalah CVE-2018-16864 dan CVE-2018-16865 telah diperbaiki beberapa jam yang lalu di cabang master systemd.
Kerentanan CVE-2018-16866 muncul pada Juni 2015 (systemd 221) dan diperbaiki pada Agustus 2018 (tidak ditampilkan dalam systemd 240).
Rilis eksploitasi yang berfungsi telah ditunda hingga rilis tambalan oleh distribusi.
Saat ini, distribusi kerentanan yang belum ditambal paling populer seperti Debian, Ubuntu, RHEL, Fedora, SUSE, serta turunannya.
systemd menyebalkan!
kebebasan init… yeah !!!!