In systemd-journald zijn drie kwetsbaarheden geïdentificeerd

Darkcrizt

4 minuten

systemd kwetsbaarheid

Er zijn drie kwetsbaarheden geïdentificeerd waardoor een onbevoegde aanvaller zijn bevoegdheden op het systeem kan verhogen en voer de code uit als root in systemd-journald die verantwoordelijk is voor het inloggen op systemd.

Kwetsbaarheden manifest in alle distributies die systemd gebruiken, Met uitzondering van SUSE Linux Enterprise 15, openSUSE Leap 15.0 en Fedora 28/29, waarin de systemd componenten worden geassembleerd met de opname van "-fstack-clash-protection".

Wat zijn kwetsbaarheden?

Kwetsbaarheden al geregistreerd in CVE-2018-16864 y CVE-2018-16865 stelt u in staat voorwaarden te creëren om gegevens buiten de limieten van het toegewezen geheugenblok te schrijven, terwijl kwetsbaarheid CVE-2018-16866 stelt u in staat de inhoud van de externe geheugengebieden te lezen.

Onderzoekers hebben een werkend prototype van de exploit voorbereid die, met behulp van de kwetsbaarheden CVE-2018-16865 en CVE-2018-16866.

Wat is er gedetailleerd over deze kwetsbaarheden, de onderzoekers Ze vertellen ons dat dit het mogelijk maakt om rootprivileges te verkrijgen na ongeveer 10 minuten aanval op systemen met i386-architectuur en 70 minuten op amd64-systemen.

Deze exploit is getest op Debian 9.5.

Ze leggen ook uit dat:

Wanneer een exploit wordt geschreven, Stack Сlash-techniek wordt gebruikt, waarvan de essentie is om voorwaarden te creëren wanneer de inhoud van de overgelopen heap zich in het stapelgebied bevindt of, omgekeerd, de stapel kan het heapgebied herschrijven.

Dit komt tot uiting in situaties waarin de stapel en de hoop naast elkaar worden geplaatst (het stapelgebied volgt onmiddellijk het geheugen dat voor de stapel is toegewezen).

De voorgestelde exploit bevestigt de aanname dat bescherming tegen aanvallen van de Stack Сlash-klasse op het Linux-kernelniveau niet voldoende is.

Tegelijkertijd wordt de aanval met succes geblokkeerd door GCC opnieuw op te bouwen met de optie "-fstack-clash-protection" ingeschakeld.

Over kwetsbaarheden

Kwetsbaarheid CVE-2018-16864 werd ontdekt na analyse van de situatie waarin het overbrengen van applicaties die gegevens opslaan in het logboek via een aanroep naar syslog (), leidt een groot aantal opdrachtregelargumenten (enkele megabytes) tot de crash van het systemd-journald-proces.

De analyse toonde aan dat door het manipuleren van een string met opdrachtregelargumenten, een gecontroleerde stapelwachtrij aan het begin van de stapel kan worden geplaatst.

Maar voor een succesvolle aanval is het noodzakelijk om de beveiligingstechniek van de stackbeschermingspagina die in de kernel wordt gebruikt, te omzeilen., waarvan de essentie ligt in de vervanging van de geheugenpagina's van limieten. om een ​​uitzondering te maken (paginafout).

Om deze bescherming parallel te omzeilen, start systemd-journald in “race condition”, Tijd toestaan ​​om het controleproces vast te leggen dat instort vanwege het invoeren van het paginageheugen, alleen-lezen.

Bij het bestuderen van de eerste kwetsbaarheid deden zich nog twee problemen voor.

De tweede kwetsbaarheid Met CVE-2018-16865 kunt u Stack Сlash-overlay-voorwaarden maken vergelijkbaar door een zeer groot bericht te schrijven naar het bestand run / systemd / journal / socket.

De derde kwetsbaarheid CVE-2018-16866 manifesteert zich als u een syslog-bericht verzendt met het laatste ":" -teken.

Vanwege een fout bij het parseren van de string, wordt de terminatietekenreeks '\ 0' erna verwijderd en bevat het record een buffergedeelte buiten '\ 0', zodat u de adressen van de stapel en de mmap kunt achterhalen.

  • De kwetsbaarheid van CVE-2018-16864 is duidelijk sinds april 2013 (verscheen in systemd 203), maar is pas geschikt voor gebruik na de wijziging in systemd 230 in februari 2016.
  • De kwetsbaarheid van CVE-2018-16865 is duidelijk sinds december 2011 (systemd 38) en is beschikbaar voor gebruik vanaf april 2013 (systemd 201).
  • De problemen met CVE-2018-16864 en CVE-2018-16865 zijn een paar uur geleden opgelost in de hoofdtak van systemd.

De kwetsbaarheid van CVE-2018-16866 verscheen in juni 2015 (systemd 221) en werd opgelost in augustus 2018 (niet weergegeven in systemd 240).

De release van een werkende exploit werd uitgesteld tot de release van patches door distributies.

Momenteel zijn de distributies van kwetsbaarheden die nog niet zijn gepatcht het populairst, zoals Debian, Ubuntu, RHEL, Fedora, SUSE, evenals hun afgeleiden.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Luix zei
    geleden Tot 5 jaar

    systemd zuigt!

    Reageer op luix
  2.   martelaar zei
    geleden Tot 5 jaar

    init vrijheid… ja !!!!

    Reageer op martiyo