Виявлено три вразливості, які дозволяють зловмисникові, який не має привілеїв, підвищувати свої привілеї в системі і запустіть код як root в systemd-journald, який відповідає за вхід в systemd.
Вразливості проявляється у всіх дистрибутивах, що використовують systemd, За винятком SUSE Linux Enterprise 15, openSUSE Leap 15.0 та Fedora 28/29, в якому компоненти systemd зібрані з включенням "-fstack-clash-protection".
Що таке вразливості?
Вразливості вже зареєстровано в CVE-2018-16864 y CVE-2018-16865 дозволяють створювати умови для запису даних за межі виділеного блоку пам'яті, в той час як вразливість CVE-2018-16866 дозволяє читати вміст областей зовнішньої пам'яті.
Дослідники підготували робочий прототип подвигу який, використовуючи вразливості CVE-2018-16865 та CVE-2018-16866.
До того, що докладно про ці вразливості дослідники Вони говорять нам, що це дозволяє отримати привілеї root приблизно через 10 хвилин атаки на архітектурні системи i386 та 70 хвилин на системи amd64.
Цей експлойт був протестований на Debian 9.5.
Вони також пояснюють, що:
Коли написано подвиг, Використовується техніка Stack Сlash, суть якого полягає у створенні умов, коли вміст переповненої купи знаходиться в області стека або, навпаки, стек може переписати область купи.
Що проявляється в ситуаціях, коли стек і купа розміщуються поруч один з одним (область стека відразу ж слід за пам'яттю, виділеною для купи).
Пропонований експлойт підтверджує припущення, що захист від атак класу Stack Сlash на рівні ядра Linux недостатній.
У той же час атака успішно блокується під час відновлення GCC з увімкненою опцією "-fstack-clash-protection".
Про вразливості
Вразливість CVE-2018-16864 було виявлено після аналізу ситуації, коли передача програм, що зберігають дані в журналі, через виклик syslog (), велика кількість аргументів командного рядка (кілька мегабайт) призводить до збою процесу systemd-journald.
Аналіз показав, що маніпулюючи рядком з аргументами командного рядка, контрольована черга стека може бути розміщена на початку стека.
Але для успішної атаки необхідно обійти техніку захисту сторінки захисту стека, що використовується в ядрі., суть якої полягає у підміні сторінок пам'яті обмеженнями. викликати виняток (помилка сторінки).
Щоб обійти цей захист паралельно, система d-journald стартує в “гоночному стані”, Визначення часу для захоплення процесу управління, що згортається через введення пам’яті сторінки, лише для читання.
У процесі вивчення першої вразливості виникли ще дві проблеми.
Друга вразливість CVE-2018-16865 дозволяє створювати умови накладання накладеної коси подібне, написавши дуже велике повідомлення до запуску / systemd / journal / socket.
Третя вразливість CVE-2018-16866 проявляється, якщо ви надсилаєте повідомлення в системному журналі з останнім символом ":".
Через помилку при синтаксичному аналізі рядка завершення "\ 0" після нього буде відкинуто, а запис міститиме частину буфера поза "\ 0", що дозволить вам дізнатися адреси стека та mmap.
- Уразливість CVE-2018-16864 була очевидною з квітня 2013 року (з'явилася в systemd 203), але придатна для роботи лише після зміни на systemd 230 у лютому 2016 року.
- Вразливість CVE-2018-16865 була очевидною з грудня 2011 року (systemd 38) і доступна для експлуатації з квітня 2013 року (systemd 201).
- Проблеми CVE-2018-16864 та CVE-2018-16865 були виправлені кілька годин тому у головній гілці systemd.
Уразливість CVE-2018-16866 з'явилася в червні 2015 року (systemd 221) та була виправлена в серпні 2018 року (не відображається в systemd 240).
Випуск робочого експлоїта відкладено до випуску патчів дистрибутивами.
В даний час дистрибутиви вразливостей ще не виправлені, є найбільш популярними, такими як Debian, Ubuntu, RHEL, Fedora, SUSE, а також їх похідні.
systemd відстій!
init свобода ... так !!!!