В , en implementering af NTP-protokollen, der bruges til at synkronisere nøjagtig tid i forskellige Linux-distributioner, sårbarhed (), så du kan overskrive enhver fil på systemet med adgang til den lokale uprivilegerede bruger chrony. Sårbarheden kan kun udnyttes gennem brugerens chrony, hvilket reducerer dens fare. Problemet kompromitterer imidlertid isolationsniveauet i chrony og kan blive udnyttet, hvis en anden sårbarhed identificeres i koden, der udføres efter privilegier er nulstillet.
Sårbarheden er forårsaget af den usikre oprettelse af en pid-fil, som blev oprettet på et tidspunkt, hvor chrony endnu ikke havde nulstillet privilegier og kørte som root. I dette tilfælde blev mappen /run/chrony, hvori pid-filen er skrevet, oprettet med rettighederne 0750 via systemd-tmpfiler, eller da chronyd blev lanceret i forbindelse med brugeren og gruppen "chrony". Hvis du har adgang til brugeren chrony, er det således muligt at erstatte pid-filen /run/chrony/chronyd.pid med et symbolsk link. Et symbolsk link kan pege på enhver systemfil, der vil blive overskrevet, når chronyd startes.
root# systemctl stop chronyd.service
root# sudo -u chrony /bin/bash
chrony$ cd /run/chrony
chrony$ ln -s /etc/shadow chronyd.pid
chrony$ exit
root# /usr/sbin/chronyd -n
^C
# i stedet for indholdet af /etc/shadow vil chronyd proces-id'et blive gemt
root# kat /etc/shadow
15287
Sårbarhed i spørgsmålet . Pakkeopdateringer, der løser sårbarheden, er tilgængelige for . I færd med at udarbejde en opdatering til , и .
SUSE og openSUSE problem , da det symbolske link for chrony oprettes direkte i /run-mappen uden brug af yderligere undermapper.
Kilde: opennet.ru