Ba lỗ hổng đã được xác định cho phép kẻ tấn công không có đặc quyền nâng cao đặc quyền của mình trên hệ thống và chạy mã dưới quyền root trong systemd-journald chịu trách nhiệm đăng nhập vào systemd.
Các lỗ hổng hiển thị trong tất cả các bản phân phối sử dụng systemd, Ngoại trừ SUSE Linux Enterprise 15, openSUSE Leap 15.0 và Fedora 28/29, trong đó các thành phần systemd được lắp ráp với bao gồm "-fstack-clash-protection".
Các lỗ hổng bảo mật là gì?
Các lỗ hổng đã đăng ký CVE-2018-16864 y CVE-2018-16865 cho phép bạn tạo điều kiện để ghi dữ liệu ngoài giới hạn của khối bộ nhớ được cấp phát, trong khi dễ bị tổn thương CVE-2018-16866 cho phép bạn đọc nội dung của các vùng bộ nhớ ngoài.
Các nhà nghiên cứu đã chuẩn bị một nguyên mẫu hoạt động của việc khai thác mà sử dụng các lỗ hổng CVE-2018-16865 và CVE-2018-16866.
Về những gì chi tiết về những lỗ hổng này, các nhà nghiên cứu Họ nói với chúng tôi rằng điều này cho phép bạn có được đặc quyền root sau khoảng 10 phút tấn công vào hệ thống kiến trúc i386 và 70 phút trên hệ thống amd64.
Khai thác này đã được thử nghiệm trên Debian 9.5.
Họ cũng giải thích rằng:
Khi một khai thác được viết, Kỹ thuật Stack Сlash được sử dụng, bản chất của việc này là tạo điều kiện khi nội dung của heap bị tràn nằm trong vùng ngăn xếp hoặc ngược lại, ngăn xếp có thể ghi lại vùng heap.
Điều này biểu hiện trong các tình huống mà ngăn xếp và đống được đặt liền kề nhau (vùng ngăn xếp ngay sau bộ nhớ được cấp phát cho đống).
Khai thác được đề xuất xác nhận giả định rằng việc bảo vệ chống lại các cuộc tấn công lớp Stack Сlash ở cấp nhân Linux là không đủ.
Đồng thời, cuộc tấn công được chặn thành công khi xây dựng lại GCC với tùy chọn "-fstack-clash-Protection" được bật.
Về lỗ hổng bảo mật
Lỗ hổng CVE-2018-16864 được phát hiện sau khi phân tích tình huống chuyển các ứng dụng lưu dữ liệu vào nhật ký thông qua lệnh gọi đến nhật ký hệ thống (), một số lượng lớn các đối số dòng lệnh (vài megabyte) dẫn đến sự cố của quy trình systemd-journald.
Phân tích cho thấy rằng bằng cách thao tác một chuỗi với các đối số dòng lệnh, một hàng đợi ngăn xếp được kiểm soát có thể được đặt ở đầu ngăn xếp.
Nhưng để tấn công thành công, cần phải bỏ qua kỹ thuật bảo vệ của trang bảo vệ ngăn xếp được sử dụng trong hạt nhân., mà bản chất của nó là sự thay thế các trang bộ nhớ của các giới hạn. để nêu ra một ngoại lệ (lỗi trang).
Để vượt qua sự bảo vệ này trong hệ thống song song, d-journald bắt đầu trong "tình trạng cuộc đua”, Cho phép thời gian để nắm bắt quá trình điều khiển thu gọn do mục nhập bộ nhớ trang, chỉ đọc.
Trong quá trình nghiên cứu lỗ hổng đầu tiên, hai vấn đề nữa đã nảy sinh.
Lỗ hổng thứ hai CVE-2018-16865 cho phép bạn tạo các điều kiện lớp phủ Stack Сlash tương tự bằng cách viết một thông báo rất lớn vào run / systemd / journal / socket.
Lỗ hổng thứ ba CVE-2018-16866 hiển thị nếu bạn gửi thông báo nhật ký hệ thống có ký tự ":" cuối cùng.
Do lỗi trong phân tích cú pháp chuỗi, chuỗi kết thúc '\ 0' sau nó sẽ bị loại bỏ và nhật ký sẽ chứa một phần đệm bên ngoài '\ 0', cho phép bạn tìm ra địa chỉ của ngăn xếp và mmap.
- Lỗ hổng CVE-2018-16864 đã rõ ràng từ tháng 2013 năm 203 (xuất hiện trong systemd 230), nhưng chỉ thích hợp để hoạt động sau khi thay đổi thành systemd 2016 vào tháng XNUMX năm XNUMX.
- Lỗ hổng CVE-2018-16865 đã xuất hiện rõ ràng từ tháng 2011 năm 38 (systemd 2013) và có sẵn để hoạt động kể từ tháng 201 năm XNUMX (systemd XNUMX).
- Các sự cố CVE-2018-16864 và CVE-2018-16865 đã được khắc phục vài giờ trước trong nhánh chính của systemd.
Lỗ hổng CVE-2018-16866 xuất hiện vào tháng 2015 năm 221 (systemd 2018) và đã được sửa vào tháng 240 năm XNUMX (không hiển thị trong systemd XNUMX).
Việc phát hành một khai thác đang hoạt động đã bị hoãn lại cho đến khi phát hành các bản vá của các bản phân phối.
Hiện tại, các bản phân phối lỗ hổng chưa được vá phổ biến nhất như Debian, Ubuntu, RHEL, Fedora, SUSE, cũng như các dẫn xuất của chúng.
systemd tệ quá!
init tự do… vâng !!!!