זוהו שלוש נקודות תורפה המאפשרות לתוקף חסר זכות להעלות את הרשאותיו במערכת והפעל את הקוד כשורש ב- systemd-journald שאחראי על כניסה ל- systemd.
פגיעויות מתבטא בכל ההפצות המשתמשות במערכת, למעט SUSE Linux Enterprise 15, openSUSE Leap 15.0 ו- Fedora 28/29, שבהם מרכיבי המערכת מורכבים עם הכללת "-fstack-clash-protection".
מהן נקודות תורפה?
פגיעויות כבר רשומים ב CVE-2018-16864 y CVE-2018-16865 מאפשרים לך ליצור תנאים לכתיבת נתונים מחוץ לגבולות גוש הזיכרון שהוקצה, ואילו פגיעות CVE-2018-16866 מאפשר לך לקרוא את התוכן של אזורי הזיכרון החיצוניים.
החוקרים הכינו אב-טיפוס עובד של הנצל אשר באמצעות הפגיעות CVE-2018-16865 ו- CVE-2018-16866.
על מה שמפורט לגבי הפגיעות הללו החוקרים הם אומרים לנו שזה מאפשר להשיג הרשאות שורש לאחר כ -10 דקות של התקפה על מערכות עם ארכיטקטורת i386 ו -70 דקות על מערכות amd64.
ניצול זה נבדק ב- Debian 9.5.
הם גם מסבירים כי:
כאשר נכתב ניצול, משתמשים בטכניקת Stack Stack, שמהותם היא ליצור תנאים כאשר תוכן הערימה העולה על גדותיה נמצא באזור הערימה או, להיפך, הערימה יכולה לכתוב מחדש את אזור הערימה.
מה שמתבטא במצבים בהם הערימה והערימה ממוקמים סמוכים זה לזה (אזור הערימה עוקב מיד אחר הזיכרון שהוקצה לערימה).
הניצול המוצע מאשר את ההנחה כי אין די בהגנה מפני התקפות מחלקות Stack Сlash ברמת הליבה של לינוקס.
יחד עם זאת, ההתקפה נחסמת בהצלחה בעת בנייה מחדש של GCC כשהאפשרות "-fstack-clash-protection" מופעלת.
על נקודות תורפה
פגיעות CVE-2018-16864 התגלה לאחר ניתוח המצב בו העברת יישומים השומרים נתונים ביומן באמצעות שיחה ל- syslog (), מספר רב של טיעוני שורת פקודה (כמה מגה-בתים) מוביל לקריסה של תהליך systemd-journald.
הניתוח הראה שעל ידי מניפולציה על מחרוזת עם ארגומנטים של שורת פקודה, ניתן להציב תור מחסנית מבוקר בתחילת הערימה.
אך להתקפה מוצלחת, יש צורך לעקוף את טכניקת ההגנה של דף הגנת הערימה המשמש בגרעין., שמהותם היא החלפת דפי הזיכרון של גבולות. להעלות חריג (תקלה בעמוד).
לעקוף את ההגנה הזו במקביל המערכת-ג'ורנלד מתחיל ב"מצב גזע”, מאפשר זמן ללכוד את תהליך בקרת התמוטטות עקב הזנת זיכרון העמוד, קריאה בלבד.
בתהליך לימוד הפגיעות הראשונה התעוררו שתי בעיות נוספות.
הפגיעות השנייה CVE-2018-16865 מאפשר לך ליצור תנאי כיסוי של Stack Сlash דומה על ידי כתיבת הודעה גדולה מאוד לקובץ run / systemd / journal / socket.
הפגיעות השלישית CVE-2018-16866 מתבטא אם אתה שולח הודעת syslog עם התו האחרון ":".
עקב שגיאה בניתוח מחרוזות, מחרוזת הסיום '\ 0' לאחר שהיא תימחק והרשומה תכלול חלק מאגר מחוץ ל- '\ 0', המאפשר לך לגלות את כתובות הערימה ואת ממפ.
- הפגיעות CVE-2018-16864 ניכרת מאז אפריל 2013 (הופיעה ב- systemd 203), אך מתאימה להפעלה רק לאחר השינוי ל- systemd 230 בפברואר 2016.
- הפגיעות CVE-2018-16865 ניכרת מאז דצמבר 2011 (מערכת 38) וזמינה להפעלה החל מאפריל 2013 (מערכת 201).
- הגיליונות CVE-2018-16864 ו- CVE-2018-16865 תוקנו לפני מספר שעות בענף הראשי של systemd.
הפגיעות CVE-2018-16866 הופיעה ביוני 2015 (מערכת 221) ותוקנה באוגוסט 2018 (לא מוצגת במערכת 240).
שחרורו של מנצל עובד נדחה עד לשחרור טלאים על ידי הפצות.
נכון לעכשיו, התפלגויות הפגיעות עדיין לא מתוקנות הן הפופולריות ביותר כמו דביאן, אובונטו, RHEL, פדורה, SUSE, כמו גם הנגזרות שלהן.
systemd מבאס!
חופש init ... כן !!!!