Уязвимост при хрония

В хроника, реализация на протокола NTP, използван за синхронизиране на точното време в различни Linux дистрибуции, идентифицирани уязвимост (CVE-2020 14367-), което ви позволява да презапишете всеки файл в системата с достъп до локалната непривилегирована потребителска хронология. Уязвимостта може да се използва само чрез потребителската хроника, което намалява нейната опасност. Проблемът обаче компрометира нивото на изолация в chrony и може да бъде използван, ако бъде идентифицирана друга уязвимост в кода, изпълнен след нулиране на привилегиите.

Уязвимостта е причинена от опасното създаване на pid файл, който е създаден на етап, когато chrony все още не е нулирал привилегиите и се изпълнява като root. В този случай директорията /run/chrony, в която е записан pid файлът, е създадена с права 0750 чрез systemd-tmpfiles или когато chronyd е стартиран във връзка с потребителя и групата „chrony“. По този начин, ако имате достъп до потребителския chrony, е възможно да замените pid файла /run/chrony/chronyd.pid със символна връзка. Символна връзка може да сочи към всеки системен файл, който ще бъде презаписан при стартиране на chronyd.

root# systemctl стоп chronyd.service
root# sudo -u chrony /bin/bash

chrony$ cd /run/chrony
chrony$ ln -s /etc/shadow chronyd.pid
chrony$ изход

root# /usr/sbin/chronyd -n
^C
# вместо съдържанието на /etc/shadow ще бъде записан ID на процеса chronyd
root# cat /etc/shadow
15287

Уязвимост елиминиран в бр chrony 3.5.1. Пакетни актуализации, които коригират уязвимостта, са налични за Fedora. В процес на подготовка на актуализация за RHEL, Debian и Ubuntu.

Проблем със SUSE и openSUSE не е податлив, тъй като символната връзка за chrony се създава директно в директорията /run, без да се използват допълнителни поддиректории.

Източник: opennet.ru