У виправленні для захисту від Dirty COW виявлено дефект

05.12.2017 | 11:06
Дефект в оригінальній виправлення цієї для уразливості Dirty COW дозволяв зловмиснику з локальної обліковим записом запустити код, що провокує стан гонки, і підвищити привілеї до root.

Дослідники з компанії Bindecy, що займається питаннями безпеки, виявили дефект у виправленні для уразливості Dirty COW (CVE-2016-5195). У середу вони опублікували докладний опис уразливості CVE-2017-1000405, виявленої в оригінальному патчі для Dirty COW і зачіпає кілька дистрибутивів Linux.

Спектр постраждалих продуктів значно вужче, ніж був у вихідної уразливості Dirty COW, яка торкнулася також інші дистрибутиви Linux і операційну систему Android.

«У плані охоплення єдина відмінність полягає в тому, що знайдена проблема не зачіпає Android і Red Hat Enterprise Linux. Для всіх інших дистрибутивів - Ubuntu, Fedora, SUSE - вона актуальна. Таким чином, спектр поразки все ще великий. За нашою оцінкою, уразливими залишаються мільйони комп'ютерів», - заявив Даніель Шапіро (Daniel Shapiro), аналітик Bindecy, який і виявив недолік разом з колегою Ейлоном Бен Яковом (Eylon Ben Yaakov).

Уразливість CVE-2017-1000405 була названа «істотною» і отримала оцінку 6,1 бала за шкалою CVSS.

Компанія Red Hat Software повідомила клієнтів про недосконалість патча в четвер і вказала, що проблема не зачіпає пакети ядра Linux, що поставляються з випусками Red Hat Enterprise Linux 5, 6, 7 і Red Hat Enterprise MRG 2, - про це повідомляється на порталі Red Hat для клієнтів.

Патч для уразливості Dirty COW був випущений в жовтні 2016 року, після того, як вона була виявлена ??в результаті публічних експлойтів. Уразливість функції копіювання при записі (copy-on-write, COW) в Linux могли використовувати мають локальний доступ зловмисники, щоб отримати необмежені привілеї на пристрої з Linux або Android.

Цей дефект, який вперше з'явився в 2007 році у версії ядра 2.6.22, дозволяє злочинцю використовувати стан гонки, щоб отримати право записи в пам'ять, призначену тільки для читання.

В результаті експлойта користувач з обліковим записом локальної системи отримує можливість змінювати виконавчі файли на диску в обхід стандартних механізмів дозволів, які в нормальних умовах не дозволили б вносити такі зміни.

Функція COW управляє ресурсами пам'яті і дозволяє різним процесам використовувати одну і ту ж сторінку до тих пір, поки користувач не виконає в ній запис, - на мові програмістів «відзначить сторінку як «брудну». Уразливість дозволяє зловмисникові спровокувати стан гонки, щоб виконати запис до того, як сторінка буде відзначена як «брудна».

Шапіро стверджує, що виправлення, випущене в жовтні 2016 року, усунуло вразливість Dirty COW як для звичайних сторінок, так і для прозоро виділених великих сторінок (ця можливість підтримується ядром Linux, починаючи з версії 2.6.38).

Як пояснив дослідник, «має місце неврахований потік в коді, який ламає логіку виправлення для прозоро виділених великих сторінок».

«У випадку з вихідної вразливістю експлойт був націлений на сторінки нередактіруемих файлів, а нова помилка дозволила нам виконати запис в особливу велику сторінку, доступну тільки для читання, - так звану« нульову »ще раз, - продовжує Шапіро. - Передбачається, що вона ініційована нулями, і деякі програми спираються на таке припущення (в тому числі привілейовані процеси)».

Більш докладний опис дефекту наведено в технічній статті Якова тут.

Згідно з графіком поширення інформації, дослідники повідомили про уразливість організації Linux Kernel Organization 22 листопада. У той же день їй було присвоєно ідентифікатор CVE, а виправлення для основного ядра з'явилося 27 листопада. Офіційне повідомлення про уразливість було опубліковано в п'ятницю.

В якості тимчасового захисту необхідно негайно відключити використання «нульовий сторінки».

«Можна відключити маппинг нульовий сторінки в якості сторінки великого розміру, змінивши вигляд в папці / sys. Це запобіжить використання даної уразливості в такий спосіб: # echo 0> / sys / kernel / mm / transparent_hugepage / use_zero_page. Можна також відключити використання великих сторінок», - сказано в описі заходів щодо усунення ризику.

«Найбільше враження в цій історії виробляє той вражаючий факт, що настільки гучна вразливість була усунута в повному обсязі», - зазначив Шапіро.
Dirty COW, патч
По матеріалам threatpost.ru
Стрічка новин: FacebookLiveJournalЯндекс

Коментарі (0)
Залиште коментар:Captchaвідновити код перевірки