Sårbarhed i systemd-coredump tillader bestemmelse af hukommelsesindhold

sårbarhed

Hvis de udnyttes, kan disse fejl give angribere mulighed for at få uautoriseret adgang til følsomme oplysninger eller generelt forårsage problemer

Nyheden blev offentliggjort en sårbarhed blev identificeretd (allerede katalogiseret under CVE-2022-4415) i systemd-coredump, som håndterer hovedfilerne, der genereres efter procesfejl, og hvilke kunne tillade en lokal bruger ingen privilegier inspicere hukommelsesindhold af privilegerede processer, der kører med rodprompten suid.

systemd-coredump er en userspace coredump-driver til Linux, som er en del af fra systemd-pakken. Sårbarheden skyldes manglen på korrekt håndtering af sysctl-parameteren fs.suid_dumpable i systemd-coredump, som med standardværdien 2 tillader generering af core-dumps for processer med suid-flaget.

Det er underforstået, at kernefilerne i suid-processer skrevet af kernen skal have adgangsrettigheder, som kun tillader læsning af root-brugeren. Kaldet af kernen til at gemme kernefiler, systemd-coredump-værktøjet gemmer kernefilen som root, men giver også ACL-baseret adgang til kernefilerne, der kan læses baseret på id'et for ejeren, der oprindeligt startede processen.

Denne funktion giver dig mulighed for at indlæse kernefiler uden hensyntagen til, at programmet kan ændre bruger-id'et og køre med forhøjede privilegier. Angrebet bunder i, at brugeren kan starte en applikation suid og sende den et SIGSEGV-signal, hvorefter den indlæser indholdet af kernefilen, som inkluderer en del af processens hukommelse på tidspunktet for nedbruddet.

I den e-mail, hvor problemet er rapporteret, står følgende:

Spørgsmålet
=========

systemd-coredump sætter sysctl fs.suid_dumpable som standard til 2 ved hjælp af
en sysctl.d push-konfigurationsfil. Til kernens indbyggede kernedump
håndtering af denne indstilling betyder, at kerne dumper for setuid (eller andet
privilegerede) processer vil skrive til disk, men kun
tilgængelig for root-brugeren for at forhindre lækage af følsomme data til
uprivilegerede brugerkonti. Se også 'man 5 proc' for den komplette
dokumentation af denne sysctl.

systemd-coredump i brugerområdet, men det respekterer ikke denne kerne
konfiguration i implementeringen af ​​din kernedumphåndtering. Det faktiske bruger-id
af en dumpproces vil modtage læseadgang til kernedumpet via en
ACL-indgang

For eksempel kan brugeren udføre "/usr/bin/su" og afslutte dens eksekvering i en anden terminal med kommandoen "kill -s SIGSEGV `pidof su`", hvorefter systemd-coredump gemmer hovedfilen i /var / lib/systemd/ mappe coredump ved at indstille en ACL for den, der tillader den aktuelle bruger at læse den.

Det nævnes, at fordi suid 'su'-værktøjet læser indholdet af /etc/shadow ind i hukommelsen, kan en angriber få adgang til information om adgangskode-hashene for alle brugere på systemet. Sudo-værktøjet er ikke modtageligt for angreb, da det forbyder generering af kernefiler via ulimit.

Hvad angår problemet, er det blevet bekræftet i standardkonfigurationen i openSUSE, Arch, Debian, Fedora og SLES distributioner. Ifølge systemd udviklere, sårbarheden viser sig fra version 247 af systemd (frigivet i november 2020), men ifølge den forsker, der identificerede problemet, er version 246 også påvirket.

Sårbarheden viser sig, hvis systemd er kompileret med libacl-biblioteket (standard i alle populære distributioner). Rettelsen er stadig tilgængelig som en patch.

For dem, der er interesseret i at spore rettelsen i distributionerne, kan de gøre det fra følgende sider: DebianUbuntuGentooRHELSUSEFedoraGentooArch.

Til sidst er det værd at nævne, at nu som en midlertidig sikkerhedsløsning kan brugere indstille sysctl fs.suid_dumpable til 0, hvilket deaktiverer dump-overførsel til systemd-coredump-driveren.

Hvis du vil vide mere om det, kan du se detaljerne i følgende link.


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.