Уязвимость в tuned, позволяющая выполнить код с правами root

28.11.2024 17:13

В развиваемом компанией Red Hat фоновом процессе tuned, выполняющем автоматическую оптимизацию настроек оборудования и ядра в зависимости от текущей нагрузки, выявлена уязвимость (CVE-2024-52336), позволяющая локальному непривилегированному пользователю выполнить любые команды с правами root.

Проблема присутствует в реализации DBus-метода "com.redhat.tuned.instance_create", применяемого для создания экземпляров плагинов, в который можно передать параметры "script_pre" и "script_post" для указания скриптов, выполняемых перед или после создания экземпляра плагина. Проблема в том, что настройки Polkit позволяют любому вошедшему в систему локальному пользователю без аутентификации отправить DBus-запрос к данному методу, в то время как сам процесс tuned выполняется с правами root и запускает отмеченные в параметрах "script_pre" и "script_post" скрипты тоже с правами root. Например, для запуска скрипта /path/to/myscript.sh с правами root пользователю достаточно выполнить команду:


   gdbus call -y -d com.redhat.tuned -o /Tuned \
        -m com.redhat.tuned.control.instance_create cpu myinstance \
        '{"script_pre": "/path/to/myscript.sh", "devices": "*"}'

В DBus-методе "com.redhat.tuned.instance_create" также присутствует менее опасная уязвимость (CVE-2024-52337), вызванная отсутствием чистки значения с именем экземпляра плагина при его выводе в лог. Атакующий может добавить имя, содержащее перевод строки и escape-символы для эмулятора терминала, которые могут использоваться для нарушения структуры лога и выполнения действий при отображении вывода команды "tuned-adm get_instances" в терминале.


    EVIL=`echo -e "this is\nevil\033[?1047h"`
    gdbus call -y -d com.redhat.tuned -o /Tuned -m com.redhat.tuned.control.instance_create cpu "$EVIL" '{"devices": "*"}'

Уязвимости проявляются начиная с версии tuned 2.23, сформированной в начале июня 2024 года, и устранены в выпуске tuned 2.24.1. Из крупных дистрибутивов проблемы исправлены в RHEL 9, Fedora 40, Arch Linux и Gentoo. В стабильных ветках Ubuntu, Debian и SUSE/openSUSE уязвимости не проявляются, так как в них поставляются старые версии tuned (<2.23), не подверженные уязвимостям.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/62307-tuned

Ключевые слова: tuned

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (13)

1.1, Мухорчатый (?), 17:55, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
У кого tuned включен, скажите - есть от него толк?

2.3, Аноним (3), 18:02, 28/11/2024 [^] [^^] [^^^] [ответить]	+/–
От scx_bpfland и ananicy импакт очень ощущается, про существование автотюнинга sysctl узнал только что.

3.15, Аноним (15), 19:00, 28/11/2024 [^] [^^] [^^^] [ответить]	+/–
> От scx_bpfland и ananicy импакт очень ощущается, про существование автотюнинга > sysctl узнал только что. Во, ставь эту штуку :). Желательно необновленную конечн - и доступ по ssh вывеси, будь мужиком, запили CTF сервер, во! :)

2.5, Ivan (??), 18:06, 28/11/2024 [^] [^^] [^^^] [ответить]	+/–
Не знаю делает ли он что-нибудь сам по себе, но я на ноуте использую tuned-ppd чтобы управлять режимами энергосбережения из гнома

1.2, Аноним (2), 17:57, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Новые уязвимости в продуктах редхат, не удивлен честно говоря...

1.10, Аноним (10), 18:23, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
эпик

1.11, Шарп (ok), 18:28, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Какая-то детская дыра. Просто создали dbus-ручку для запуска скриптов из под root'а. Архитектора на мыло.

2.14, Аноним (15), 18:59, 28/11/2024 [^] [^^] [^^^] [ответить]	+/–
> Какая-то детская дыра. Просто создали dbus-ручку для запуска скриптов > из под root'а. Архитектора на мыло. Судя по гитхабу - это лабуда написаная на пиотне какими-то джунами. Архитект - слишком громкое слово для вот этого всего.

2.16, Аноним (16), 19:10, 28/11/2024 [^] [^^] [^^^] [ответить]	+/–
Как можно запускать сторонний код под root'ом?

3.17, Аноним (16), 19:16, 28/11/2024 [^] [^^] [^^^] [ответить]	+/–
Неплохо было бы, чтобы прилагался манифест безопасности по листу systemd-analyze security. Какие caps нужны?

2.18, Аналоговнет (?), 19:27, 28/11/2024 [^] [^^] [^^^] [ответить]	+/–
> Какая-то детская дыра. Какие-то у вас нездоровые фантазии, попахивающие ст.134.

1.12, Аналоговнет (?), 18:49, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Понятия не имею что это и зачем оно нужно. Но на подсознательном уровне уверен, что это сферическое ненужное в вакууме.

1.13, Аноним (15), 18:58, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> В развиваемом компанией Red Hat фоновом процессе tuned, выполняющем > автоматическую оптимизацию настроек оборудования и ядра в зависимости > от текущей нагрузки Отличная между прочим оптимизация, я всячески одобряю :). Пожалуйста не забывайте ставить продукцию супернужных питонистов от редхата :)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: