Уязвимости в swhkd, мениджър за бърз достъп за Wayland

Идентифицирани са серия от уязвимости в swhkd (Simple Wayland HotKey Daemon), причинени от неправилна работа с временни файлове, параметри на командния ред и Unix сокети. Програмата е написана на Rust и обработва натискането на бързи клавиши в среди, базирани на протокола Wayland (съвместим с конфигурационен файл аналог на процеса sxhkd, използван в базирани на X11 среди).

Пакетът включва непривилегирован процес swhks, който изпълнява действия с бързи клавиши, и фонов процес swhkd, който работи като root и взаимодейства с устройства за въвеждане на ниво uinput API. Unix сокет се използва за организиране на взаимодействието между swhks и swhkd. Използвайки правилата на Polkit, всеки локален потребител може да стартира процеса /usr/bin/swhkd като root и да му предава произволни параметри.

Идентифицирани уязвимости:

• CVE-2022-27815 – Запазване на PID на процес във файл с предвидимо име и в директория, в която могат да се записват други потребители (/tmp/swhkd.pid). Всеки потребител може да създаде файл /tmp/swhkd.pid и да постави pid на съществуващ процес в него, което ще направи swhkd неспособен да стартира. Ако няма защита срещу създаване на символни връзки в /tmp, уязвимостта може да се използва за създаване или презаписване на файлове във всяка системна директория (PID се записва във файла) или за определяне на съдържанието на всеки файл в системата (swhkd отпечатва цялото съдържание на PID файла към stdout). Трябва да се отбележи, че в издадената корекция PID файлът е преместен не в директорията /run, а в директорията /etc (/etc/swhkd/runtime/swhkd_{uid}.pid), където също не принадлежи.
• CVE-2022-27814 – Чрез манипулиране на опцията на командния ред „-c“, използвана за указване на конфигурационен файл, е възможно да се определи съществуването на всеки файл в системата. Например, за да проверите /root/.somefile, можете да изпълните „pkexec /usr/bin/swhkd -d -c /root/.somefile“ и ако файлът липсва, грешката „/root/.somefile не съществува ” ще се покаже. Както в случая с първата уязвимост, отстраняването на проблема е озадачаващо - отстраняването на проблема се свежда до факта, че външната помощна програма „cat“ ('Command::new(“/bin/cat”)).arg(path) сега се стартира за четене на конфигурационния файл. output()').
• CVE-2022-27819 – Проблемът е свързан и с използването на опцията „-c“, която кара целия конфигурационен файл да бъде зареден и анализиран без проверка на размера и типа на файла. Например, за да предизвикате отказ на услуга чрез изчерпване на свободната памет и създаване на фалшив I/O, можете да посочите блоково устройство при стартиране ("pkexec /usr/bin/swhkd -d -c /dev/sda") или символно устройство, което произвежда безкраен поток от данни. Проблемът беше решен чрез нулиране на привилегиите преди отваряне на файла, но поправката не беше пълна, тъй като само потребителският идентификатор (UID) се нулира, но груповият идентификатор (GID) остава същият.
• CVE-2022-27818 – Unix сокет се създава с помощта на файла /tmp/swhkd.sock, създаден в директория с възможност за запис, което води до подобни проблеми като първата уязвимост (всеки потребител може да създаде /tmp/swhkd.sock и да генерира или прихване събития при натискане на клавиши).
• CVE-2022-27817 - Събитията за въвеждане се приемат от всички устройства и във всички сесии, т.е. потребител от друга сесия на Wayland или от конзолата може да прихваща събития, когато клавишни комбинации са натиснати от други потребители.
• CVE-2022-27816 Процесът swhks, подобно на swhkd, използва PID файла /tmp/swhks.pid в записваемата директория /tmp. Проблемът е подобен на първата уязвимост, но не е толкова опасен, защото swhks работи под непривилегирован потребител.

Източник: opennet.ru