The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в подсистеме ядра Linux Netfilter

31.05.2022 21:14

В ядре Linux выявлена уязвимость (CVE-2022-1966, CVE-2022-32250), позволяющая локальному пользователю получить права root в системе. Заявлено о подготовке эксплоита, демонстрирующего получение root-привилегий в Ubuntu 22.04. Для включения в ядро предложен патч с устранением проблемы (дополнение: патч принят в ядро).

Уязвимость вызвана обращением к уже освобождённой области памяти (use-after-free) при манипуляции с set-списками при помощи команды NFT_MSG_NEWSET в модуле nf_tables. Для проведения атаки требуется наличие доступа к nftables, который можно получить в отдельном сетевом пространстве имён (network namespaces) при наличии прав CLONE_NEWUSER, CLONE_NEWNS или CLONE_NEWNET (например, при возможности запуска изолированного контейнера).

Дополнение: Опубликован детальный разбор техники эксплуатации уязвимости.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в подсистеме ядра Linux perf, позволяющая поднять привилегии
  3. OpenNews: В ядре Linux выявлены эксплуатируемые уязвимости в nf_tables, watch_queue и IPsec
  4. OpenNews: Удалённая DoS-уязвимость в ядре Linux, эксплуатируемая через отправку пакетов ICMPv6
  5. OpenNews: Уязвимость в подсистеме ядра Linux Netfilter
  6. OpenNews: Уязвимость в подсистеме netfilter, позволяющая выполнить код на уровне ядра Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57281-linux
Ключевые слова: linux, kernel, vulnerability
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.6, Аноним (6), 22:25, 31/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Для проведения атаки требуется наличие доступа к nftables, который можно получить в отдельном сетевом пространстве имён (network namespaces) при наличии прав CLONE_NEWUSER, CLONE_NEWNS или CLONE_NEWNET (например, при возможности запуска изолированного контейнера).

    Как всегда, чтобы получить рута, нужен рут.
    (То, что рут в контейнере равен руту на хосте, все и так давно в курсе)

     
     
  • 2.9, Аноним (9), 22:47, 31/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Проблема в том, что достаточно и "виртуального" рута, который в контейнерах непривилегированным пользователям в Ubuntu и Fedora даётся.
     
     
  • 3.10, Аноним (6), 22:49, 31/05/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    kernel.unprivileged_userns_clone=0 (обычно следующая строка после kernel.unprivileged_bpf_disabled=1)
     
  • 3.27, Онаним (?), 18:14, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, извините, это проблема контейнеров.
    Вообще как-то следует ожидать, что рут в контейнере в любой момент может стать рутом в головной системе.
    Слишком много переусложнённого везде.
     

  • 1.7, Аноним (7), 22:37, 31/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Опять namespaces :-)

    Кажется, это уже 105 уязвимость.

    И, как сказали выше, оно само по себе требует рута - короче, стоит беспокоиться только хостерам, которые используют ns виртуализацию.

    // b.

     
     
  • 2.8, Аноним (9), 22:46, 31/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В Ubuntu и Fedora вроде создание user namespaces  по умолчанию включено всем пользователям (user.max_user_namespaces != 0).
     
     
  • 3.11, Аноним (6), 22:54, 31/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не тащить в production bleeding edge, не?
     
     
  • 4.16, пох. (?), 00:52, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    slackware 3.1 хватит всем!

    (этот твой bleeping age уже лет семь как настал. В школу его отправь!)

     
  • 2.25, Аноним (-), 17:39, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Опять namespaces :-)

    Что поделать, Торвальдс в своем первом релизе не додумался это сразу накодить, пришлось прикручивать к тому что есть. С понятным результатом - иногда усы все же отклеиваются.

     

  • 1.13, Аноним (-), 00:26, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Смешно, как сразу начали писать 'ваша уязвимость не уязвимость'
     
     
  • 2.14, Аноним (-), 00:43, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Линуксоиды, сэр. Они всегда так делают.
     
  • 2.15, пох. (?), 00:51, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не, ну в целом-то - эта дыра у нас у большинства "в безопасТносте".
    (И вовсе не 105 а всего одна. Вечная.)

    В смысле, кто включил userns тот должен понимать что теперь у него все юзеры - руты, для того ведь и userns.
    А что изоляция построенная на бесконечных проверках на каждый чих "точно этот рут совсем рут?" работать никогда и не будет - казалось бы, очевидно.


     
     
  • 3.23, Аноним (23), 17:13, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > казалось бы, очевидно

    С твоим даром предвидения можно было бы огромные бабосы зашибать, но ты весь талант потратил на мытьё полов в ДЦ и газификацию комментов на опеннете. А мог бы быть богатым, сытым и жить в приличном районе.

     
  • 2.17, Аноним (17), 00:54, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то, это уязвимость, просто, как я понял, вектор атаки подразумевает, что у тебя уже есть полноправный пользователь и возможность исполнять любой код. Если кто-то рассчитывает на то, что виртуальный рут не так опасно, то что ж. Но, похоже, сбежать из нормальной изоляции, когда ты не unshare -r с правом ставить setcap cap_sys_admin+ep любому файлу (даже при отсутствии такого права у запустившего пользователя), бояться нечего?
     
  • 2.29, Аноним (-), 21:08, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А может виртуальный рут дается именно потому что не хотят давать реальный? И пользователь не ожидает такого подвоха?) Та не, фигня какая-то...

     

  • 1.18, нонейм (?), 01:26, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вубунте пофиксили уже оперативно

    May 31 13:19:24 cc canonical-livepatch.canonical-livepatchd[812]: System contains non-livepatch tainted modules.
    May 31 14:34:15 cc canonical-livepatch.canonical-livepatchd[812]: module "livepatch_Ubuntu_5_15_0_33_34_generic_86" already inserted


    $ sudo ls -l /var/snap/canonical-livepatch/common/payload/
    total 544
    -rw------- 1 root root    545 May 31 13:19 changelog
    -rw------- 1 root root   1771 May 31 13:19 copyright
    -rw------- 1 root root    634 May 31 13:19 cvelist.yaml
    -rwx------ 1 root root 536628 May 31 13:19 livepatch_Ubuntu_5_15_0_33_34_generic_86.ko
    -rw------- 1 root root     45 May 31 13:19 meta

     
     
  • 2.22, Аноним (6), 11:08, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У них там просто график такой - раз в неделю ядро пересобирать (правда, едет регулярно, потому что раздолбаи).
    Не факт, что они именно эту дыру пофиксили.
     

  • 1.24, Аноним (23), 17:15, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > use-after-free

    Вот так новость! Никогда такого не было, и вот опять. Или это снова неправильные сишники писали?

     
  • 1.26, Аноним (26), 17:56, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По теме: cloudflare-warp при установке сам меняет правила nftables, не спрашивая даже!
     
     
  • 2.28, Аноним (23), 19:12, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А что он у тебя должен спрашивать?
     
     
  • 3.31, пох. (?), 08:54, 03/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А что он у тебя должен спрашивать,

    Раб!

     

  • 1.30, Аноним (30), 09:52, 02/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    наконец то для android8 сделают root?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру