Tiga kelemahan telah dikenal pasti yang memungkinkan penyerang yang tidak memiliki hak untuk meningkatkan hak mereka pada sistem dan jalankan kod sebagai root dalam systemd-journald yang bertanggungjawab untuk masuk ke systemd.
Kerentanan nyata dalam semua pengedaran yang menggunakan systemd, Dengan pengecualian SUSE Linux Enterprise 15, openSUSE Leap 15.0, dan Fedora 28/29, di mana komponen systemd dipasang dengan memasukkan "-fstack-clash-protection".
Apakah kerentanan?
Kerentanan sudah mendaftar di CVE-2018 16864- y CVE-2018 16865- membolehkan anda membuat syarat untuk menulis data di luar had blok memori yang diperuntukkan, semasa kerentanan CVE-2018 16866- membolehkan anda membaca kandungan kawasan memori luaran.
Penyelidik telah menyediakan prototaip eksploitasi yang berfungsi yang, menggunakan kerentanan CVE-2018-16865 dan CVE-2018-16866.
Untuk apa yang terperinci mengenai kelemahan ini para penyelidik Mereka memberitahu bahawa ini memungkinkan untuk mendapatkan hak root setelah serangan selama 10 minit pada sistem dengan seni bina i386 dan 70 minit pada sistem amd64.
Eksploitasi ini telah diuji pada Debian 9.5.
Mereka juga menjelaskan bahawa:
Apabila eksploitasi ditulis, Teknik Stack Сlash digunakan, intinya adalah untuk mewujudkan keadaan apabila kandungan timbunan limpahan berada di kawasan timbunan atau, sebaliknya, timbunan dapat menulis semula kawasan timbunan.
Yang menampakkan dirinya dalam situasi di mana timbunan dan timbunan diletakkan berdekatan satu sama lain (kawasan timbunan segera mengikuti memori yang diperuntukkan untuk timbunan).
Eksploitasi yang dicadangkan mengesahkan anggapan bahawa perlindungan terhadap serangan kelas Stack Сlash di tingkat kernel Linux tidak mencukupi.
Pada masa yang sama, serangan berjaya disekat dengan membina semula GCC dengan pilihan "-fstack-clash-protection" diaktifkan.
Mengenai kelemahan
Kerentanan CVE-2018-16864 ditemui setelah menganalisis situasi di mana memindahkan aplikasi yang menyimpan data ke log melalui panggilan ke syslog (), sebilangan besar argumen baris perintah (beberapa megabait) membawa kepada kemerosotan proses systemd-journald.
Analisis menunjukkan bahawa dengan memanipulasi rentetan dengan argumen baris perintah, barisan timbunan terkawal dapat ditempatkan pada awal tumpukan.
Tetapi untuk serangan yang berjaya, perlu memintas teknik perlindungan halaman perlindungan tumpukan yang digunakan di kernel., yang intinya adalah dalam penggantian had halaman memori. untuk meningkatkan pengecualian (kesalahan halaman).
Untuk memintas perlindungan ini secara selari systemd-journald bermula dalam "keadaan perlumbaan", Membiarkan masa untuk menangkap proses kawalan runtuh kerana kemasukan memori halaman, hanya baca.
Dalam proses mengkaji kerentanan pertama, timbul dua masalah lagi.
Kerentanan kedua CVE-2018-16865 membolehkan anda membuat keadaan tindanan Stack Сlash serupa dengan menulis mesej yang sangat besar kepada run / systemd / jurnal / soket.
Kerentanan ketiga CVE-2018-16866 menjelma jika anda menghantar mesej syslog dengan watak terakhir ":".
Oleh kerana terdapat kesalahan dalam menguraikan rentetan, rentetan penamatan '\ 0' setelah itu akan dibuang dan log akan mengandungi bahagian penyangga di luar '\ 0', yang memungkinkan anda mengetahui alamat timbunan dan mmap.
- Kerentanan CVE-2018-16864 sudah jelas sejak April 2013 (muncul dalam sistemd 203), tetapi hanya sesuai untuk operasi setelah perubahan ke sistemd 230 pada Februari 2016.
- Kerentanan CVE-2018-16865 terbukti sejak Disember 2011 (systemd 38) dan tersedia untuk operasi pada April 2013 (systemd 201).
- Masalah CVE-2018-16864 dan CVE-2018-16865 telah diperbaiki beberapa jam yang lalu di cawangan induk systemd.
Kerentanan CVE-2018-16866 muncul pada bulan Jun 2015 (systemd 221) dan diperbaiki pada bulan Ogos 2018 (tidak ditunjukkan pada systemd 240).
Pelepasan eksploitasi kerja telah ditunda hingga pembebasan patch oleh pengedaran.
Pada masa ini, pengedaran kerentanan yang belum ditambal adalah yang paling popular seperti Debian, Ubuntu, RHEL, Fedora, SUSE, dan juga turunannya.
systemd menyebalkan!
kebebasan init ... ya !!!!