Уязвимост в ld.so OpenBSD

Динамичен товарач ld. така че, включен в OpenBSD, може при определени условия, SUID/SGID- приложенията напускат променливата на средата LD_LIBRARY_PATH и по този начин позволяват кодът на трета страна да бъде зареден в контекста на процес, работещ с повишени привилегии. Пачовете, които коригират уязвимостта, са налични за издания 6.5 и 6.6. Двоични пачове (syspatch) за amd64, i386 и arm64 платформи вече са в производство и трябва да бъдат достъпни за изтегляне до момента на публикуване на тази новина.

Същността на проблема: по време на работа ld.so първо извлича стойността на променливата LD_LIBRARY_PATH от средата и с помощта на функцията _dl_split_path() я превръща в масив от низове - пътища към директории. Ако по-късно се окаже, че текущият процес е стартиран от SUID/SGID приложение, тогава създаденият масив и всъщност променливата LD_LIBRARY_PATH се изчистват. В същото време, ако _dl_split_path() изчерпи паметта (което е трудно поради изричното ограничение от 256 kB за размера на променливите на средата, но теоретично е възможно), тогава променливата _dl_libpath ще получи стойност NULL и последващи проверки на стойността на тази променлива ще принуди да пропусне извикването на _dl_unsetenv("LD_LIBRARY_PATH").

Уязвимост, открита от експерти Qualy's, както и няколко разкрити по-рано проблеми. Изследователите по сигурността, които идентифицираха уязвимостта, отбелязаха колко бързо е разрешен проблемът: беше подготвена корекция и бяха пуснати актуализации в рамките на три часа след като проектът OpenBSD получи известие.

Допълнение: На проблема е присвоен номер CVE-2019 19726-. Направено в пощенския списък на oss-security официално съобщение, включително експлойт на прототип, работещ на OpenBSD 6.6, 6.5, 6.2 и 6.1 архитектури
amd64 и i386 (експлойтът може да бъде адаптиран за други архитектури).
Проблемът може да се използва в инсталацията по подразбиране и позволява на непривилегирован локален потребител да изпълни код като root чрез заместване на библиотека, когато изпълнява помощните програми chpass или passwd suid. За да създадете условията за ниска памет, необходими за работа, задайте ограничението RLIMIT_DATA чрез setrlimit.

Източник: opennet.ru