LINUX.ORG.RU

Обнаружена очередная local root уязвимость в ядре Linux 3.8

 , ,


0

2

В рассылке OSS-security появился тривиальный эксплоит для ядра 3.8, который посредством использования вызова clone() с параметрами CLONE_NEWUSER|CLONE_FS позволяет непривилегированному пользователю получить права суперпользователя.

Эксплоит работает только в том случае, если в ядре встроена поддержка namespaces, а также у пользователя есть права на запись в корневую файловую систему (в большом количестве систем корень и домашний раздел находятся на одном и том же разделе).

Для запуска эксплоита в 32-битном окружении, поменяйте все вхождения lib64 на lib, а ld-linux-x86-64.so.2 на ld-linux.so.2.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

корень и домашний раздел находятся на одном и том же разделе => у пользователя есть права на запись в корневую файловую систему

где тут причинно-следственная связь? что за чушь?

punya ★★ ()
Последнее исправление: punya (всего исправлений: 2)
Ответ на: комментарий от punya

где тут причинно-следственная связь?

ну ты в HOME писать можешь? У тебя HOME в корне? Вешайся.

У меня ессно не в корне, а корень - отдельная ФС, куда юзеру писать нельзя.

drBatty ★★ ()

решето :)

пошел собирать ведро 3.8 чтоб потестить

если в ядре встроена поддержка namespaces

где она включается?

Harald ★★★★★ ()

Зачем говорить 'очередная'? Фу таким быть.

quowah ()
Ответ на: комментарий от anonymous

а /tmp у тебя где?

/dev/sda1        /                ext4        user_xattr,discard 1   1
/dev/sda5        /var             ext4        discard            1   2
/dev/sda6        /usr             ext4        ro,discard         1   2
/dev/sda7        /home            ext4        discard            1   2

tmpfs            /tmp             tmpfs       size=2G            0   0

ещё вопросы?

drBatty ★★ ()
brain@brain-ThinkPad-X230:~/Загрузки$ ./a.out 
[**] clown-newuser -- CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer

[+] Found myself: '/home/brain/Загрузки/a.out'
[*] Parent waiting for boomsh to appear ...
[*] Setting up chroot ...
[-] link: Operation not permitted

судя по всему не работает в

brain@brain-ThinkPad-X230:~/Загрузки$ cat /proc/version 
Linux version 3.2.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.6.3 (Debian 4.6.3-15) ) #1 SMP Debian 3.2.39-2

i_gnatenko_brain ★★★★ ()

Для запуска эксплоита в 32-битном окружении, поменяйте все вхождения lib64 на lib, а ld-linux-x86-64.so.2 на ld-linux.so.2.

Для заражения вашего ПК вирусом соберите его требуемым компилятором, дайте права на запуск, запустите.

P.S. То же мне дыра!

ivanlex ★★★★ ()
Ответ на: комментарий от science

~ # cat /boot/config-3.8.2-geek | grepi namesp

CONFIG_NAMESPACES=y

Всё то же самое, создал /exploit в корневой fs, всё-равно валится на

[-] link: Operation not permitted
backbone ★★★★★ ()
Ответ на: комментарий от backbone

А с какого фига вы обычным пользователем можете в корне создавать файлы? Код экплоита вообще читали? Может он rm -rf /* выполняет.

Для крайне тупых: если у вас /home - отдельный раздел, то

$ sudo mkdir /1
$ sudo chown my_username /1
$ cp clown-newuser.c /1
$ cd /1
$ gcc -Wall clown-newuser.c -static
$ ./a.out
$ id
uid=0(root)

// b.

anonymous ()
Ответ на: комментарий от i_gnatenko_brain

Ещё один умник - в новости для особо одарённых написано как оно должно работать - нет, всё равно на разных разделах пытаются творить.

Попробуйте из /var/tmp запустить ради интереса - в Fedora /var обычно = /.

// b.

anonymous ()
Ответ на: комментарий от anonymous

А с какого фига вы обычным пользователем можете в корне создавать файлы?

От root зашёл, т.к. /home на отдельном разделе.

Всё так и делал, только крайне тупой не додумается. :)

backbone ★★★★★ ()
Ответ на: комментарий от punya

где тут причинно-следственная связь? что за чушь?

Речь не про корневой каталог (ясен пень, его обычный юзер менять не может), а про весь раздел, где он находится.

AX ★★★★★ ()
Ответ на: комментарий от tailgunner

Или ядро старое %)

Linux nickolay-842 3.8.2-geek #1 ZEN SMP PREEMPT Mon Mar 11 11:27:44 MSK 2013 x86_64 Intel(R) Core(TM)2 Duo CPU E7400 @ 2.80GHz GenuineIntel GNU/Linux

У тебя не сконфигурирован конкретный флаг clone.

Полагаете, надо с 3-им аргументом в clone () «поиграться»?

backbone ★★★★★ ()
Ответ на: комментарий от backbone

Я полагаю, что эксплойт написан для ванильного ядра, а что там в вашем geek - ХЗ; может, один из его патчей спасает (может, в него даже включен фикс этой проблемы - он дает такой же код возврата).

Попробуй просто clone с CLONE_NEWUSER|CLONE_FS.

tailgunner ★★★★★ ()
Ответ на: комментарий от anonymous

Подозреваю, что как у всех нормальных людей на отдельном разделе.

Собственно, у меня так же. Отдельно корень, /tmp, /var, /home, /usr, /boot, на некоторых машинах ещё /opt.

shell-script ★★★★★ ()
Ответ на: комментарий от backbone

Да, конечно, я не заметил сразу. Теперь валится на [-] clone: Invalid argument, как и положено :)

Компилирую ванильное ядро. Чёрт, хочу в венду, там хоть троянам помогать не надо.

riki ★★★★ ()
Ответ на: комментарий от riki

Чёрт, хочу в венду, там хоть троянам помогать не надо.

научись отличать троян от уязвимости, позволяющей повысить привилегии

xtraeft ★★☆☆ ()
Ответ на: комментарий от ivanlex

То же мне дыра!

это только демонстрация. IRL там уже всё будет как надо.

drBatty ★★ ()

все по плану пока школота будет пилить ядро линукса будутдыры и сотни строк не нужного кода линукс капец уже близок

anonymous ()
Ответ на: комментарий от derlafff

Тоже собрал ванильное 3.8.2, не работает.

riki ★★★★ ()

а также у пользователя есть права на запись в корневую файловую систему

Поясните, что такое права пользователя на запись в файловую систему? Разве в файловой системе права выставляются не индивидуально для каждого конкретного файла/каталога?

Citramonum ★★ ()

Всё-таки этот ваш линакс жуткое решето, каждый месяц почти уязвимости находят, не то что шindovs /threat

Pyzia ★★★★★ ()
Ответ на: комментарий от Aceler

CVE-2013-1828 Linux kernel SCTP_GETSOCKOPT_ASSOC_STATS stack buf. overflow 3.8-3.8.2

xtraeft ★★☆☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.