Уязвимост в потребителската среда на Enlightenment, позволяваща root достъп

Беше идентифицирана уязвимост (CVE-2022-37706) в потребителската среда на Enlightenment, която позволява на непривилегирован локален потребител да изпълни код с права на root. Уязвимостта все още не е коригирана (0-ден), но вече има достъпен експлойт в публичното пространство, тестван в Ubuntu 22.04.

Проблемът е в изпълнимия файл enlightenment_sys, който се доставя с флага suid root и изпълнява определени разрешени команди, като например монтиране на устройството с помощната програма за монтиране, чрез извикване на system(). Поради неправилната работа на функцията, която генерира низа, предаван на извикването system(), кавичките се изрязват от аргументите на стартираната команда, което може да се използва за изпълнение на вашия собствен код. Например, когато изпълнявате mkdir -p /tmp/net mkdir -p "/tmp/;/tmp/exploit" echo "/bin/sh" > /tmp/exploit chmod a+x /tmp/exploit enlightenment_sys /bin/mount - o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), “/dev/../tmp/;/tmp/exploit” /tmp// / нето

поради премахването на двойните кавички, вместо указаната команда '/bin/mount ... "/dev/../tmp/;/tmp/exploit" /tmp///net' ще бъде низ без двойни кавички предава на функцията system() ' /bin/mount … /dev/../tmp/;/tmp/exploit /tmp///net', която ще предизвика командата '/tmp/exploit /tmp///net ' да се изпълнява отделно, вместо да се обработва като част от пътя към устройството. Редовете "/dev/../tmp/" и "/tmp///net" са избрани да заобикалят проверката на аргументи за командата за монтиране в enlightenment_sys (устройството за монтиране трябва да започва с /dev/ и да сочи към съществуващ файл, и трите знака "/" в точката на монтиране са посочени за постигане на необходимия размер на пътя).

Източник: opennet.ru