当前位置:安全行业动态 → 正文

安全狗漏洞预警: Linux内核通杀提权漏洞

责任编辑:editor007 |来源:企业网D1Net  2016-10-24 20:46:28 本文摘自:CCTIME飞象网

1.png

  一、 漏洞描述

CVE-ID: CVE-2016-5195

漏洞名称: Linux写拷贝污染(也叫:脏牛(Dirty COW))

漏洞危害:低权限用户可利用该漏洞在linux系统上实现本地提权

影响范围:Linux内核>=2.6.22(包括Pc与Android)

二、 漏洞原理

Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其它只读内存映射的写权限,有可能进一步导致提权漏洞。

三、 漏洞细节

到目前为止,该漏洞的利用程序尚未公布。该漏洞由于get_user_pages()的条件竞争漏洞导致。没有什么办法能够保证handle_mm_fault()一定能够触发COW条件-如果另一个线程结束并以某种方式修改了页表,handle_mm_fault()将会终止,我们需要重试这个操作。这还算好的,get_user_pages()最后是尝试读取操作,因此理论上写访问结束时会丢失已经污染的位或者一个内存页上没有适合COW的地方。这让get_user_pages()总是尝试写访问由于"follow_page()"产生的写访问需要一个可写的污染位集合。这简化了解决竞争的代码:如果COW由于某些原因执行失败了,我们只需要不断重复执行。

提交者在11年前就尝试修复这个古老的漏洞,提交编号4ceb5db9757a("修复 get_user_pages() 的写访问竞争"),但是后来由于s390问题又回滚了,提交编号 f33ea7f404e5("修复 get_user_pages漏洞")。

同时,s390已经修复很久了,现在我们能够通过适当的校验pte_dirty()位来修复。s390 污染位已经在abf09bed3cce 中实现了(("s390/mm:实现软件污染位")。更好的内核需要自行查看内存页。

同样,VM的扩展性变得更好,并且使用了一个更好的竞争使得触发更容易。

为了修复它,我们引入一个新的内部FOLL_COW标志来标记“yes,我们已经做了一 次写拷贝了”来取代与FOLL_WRITE之间的竞争游戏,然后使用pte污染标记去校验 FOLL_COW标记是否仍然生效。

四、 漏洞验证

测试的Poc在https://github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c

将代码下载到本地后,使用gcc进行编译。根据源码的注释,可以看出利用poc将foo文件的内容进行篡改。同理只要把/etc/passwd中低权限用户的 uid改成 0 后面这个低权限用户就可以以 root权限登录了。

2.png

  五、 修复方案

Linux团队正在积极修复漏洞。

普通用户可通过系统更新到最新发行版修复此漏洞。

开发人员可通过重新编译内核修复。

关键字:只读内存Linux内核

本文摘自:CCTIME飞象网

x 安全狗漏洞预警: Linux内核通杀提权漏洞 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

安全狗漏洞预警: Linux内核通杀提权漏洞

责任编辑:editor007 |来源:企业网D1Net  2016-10-24 20:46:28 本文摘自:CCTIME飞象网

1.png

  一、 漏洞描述

CVE-ID: CVE-2016-5195

漏洞名称: Linux写拷贝污染(也叫:脏牛(Dirty COW))

漏洞危害:低权限用户可利用该漏洞在linux系统上实现本地提权

影响范围:Linux内核>=2.6.22(包括Pc与Android)

二、 漏洞原理

Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其它只读内存映射的写权限,有可能进一步导致提权漏洞。

三、 漏洞细节

到目前为止,该漏洞的利用程序尚未公布。该漏洞由于get_user_pages()的条件竞争漏洞导致。没有什么办法能够保证handle_mm_fault()一定能够触发COW条件-如果另一个线程结束并以某种方式修改了页表,handle_mm_fault()将会终止,我们需要重试这个操作。这还算好的,get_user_pages()最后是尝试读取操作,因此理论上写访问结束时会丢失已经污染的位或者一个内存页上没有适合COW的地方。这让get_user_pages()总是尝试写访问由于"follow_page()"产生的写访问需要一个可写的污染位集合。这简化了解决竞争的代码:如果COW由于某些原因执行失败了,我们只需要不断重复执行。

提交者在11年前就尝试修复这个古老的漏洞,提交编号4ceb5db9757a("修复 get_user_pages() 的写访问竞争"),但是后来由于s390问题又回滚了,提交编号 f33ea7f404e5("修复 get_user_pages漏洞")。

同时,s390已经修复很久了,现在我们能够通过适当的校验pte_dirty()位来修复。s390 污染位已经在abf09bed3cce 中实现了(("s390/mm:实现软件污染位")。更好的内核需要自行查看内存页。

同样,VM的扩展性变得更好,并且使用了一个更好的竞争使得触发更容易。

为了修复它,我们引入一个新的内部FOLL_COW标志来标记“yes,我们已经做了一 次写拷贝了”来取代与FOLL_WRITE之间的竞争游戏,然后使用pte污染标记去校验 FOLL_COW标记是否仍然生效。

四、 漏洞验证

测试的Poc在https://github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c

将代码下载到本地后,使用gcc进行编译。根据源码的注释,可以看出利用poc将foo文件的内容进行篡改。同理只要把/etc/passwd中低权限用户的 uid改成 0 后面这个低权限用户就可以以 root权限登录了。

2.png

  五、 修复方案

Linux团队正在积极修复漏洞。

普通用户可通过系统更新到最新发行版修复此漏洞。

开发人员可通过重新编译内核修复。

关键字:只读内存Linux内核

本文摘自:CCTIME飞象网

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^