В , eine Implementierung des NTP-Protokolls, das zur Synchronisierung der genauen Zeit in verschiedenen Linux-Distributionen verwendet wird, Verletzlichkeit (), sodass Sie jede Datei auf dem System mit Zugriff auf die lokale, nicht privilegierte Benutzerchronik überschreiben können. Die Schwachstelle kann nur über die Benutzerchronik ausgenutzt werden, was ihre Gefahr verringert. Allerdings gefährdet das Problem die Isolationsstufe im Verlauf und könnte ausgenutzt werden, wenn eine weitere Schwachstelle im Code identifiziert wird, der nach dem Zurücksetzen der Berechtigungen ausgeführt wird.
Die Sicherheitslücke wird durch die unsichere Erstellung einer PID-Datei verursacht, die zu einem Zeitpunkt erstellt wurde, als Chrony noch keine Berechtigungen zurückgesetzt hatte und als Root ausgeführt wurde. In diesem Fall wurde das Verzeichnis /run/chrony, in das die PID-Datei geschrieben wird, mit den Rechten 0750 über systemd-tmpfiles oder beim Start von chronyd in Verbindung mit dem Benutzer und der Gruppe „chrony“ erstellt. Wenn Sie also Zugriff auf den Benutzer chrony haben, ist es möglich, die PID-Datei /run/chrony/chronyd.pid durch einen symbolischen Link zu ersetzen. Ein symbolischer Link kann auf jede Systemdatei verweisen, die beim Start von chronyd überschrieben wird.
root# systemctl stoppt chronyd.service
root# sudo -u chrony /bin/bash
chrony$ cd /run/chrony
chrony$ ln -s /etc/shadow chronyd.pid
chrony$ beenden
root# /usr/sbin/chronyd -n
^C
# Anstelle des Inhalts von /etc/shadow wird die chronyd-Prozess-ID gespeichert
root# cat /etc/shadow
15287
Sicherheitslücke in der Ausgabe . Es sind Paketaktualisierungen verfügbar, die die Schwachstelle beheben . Ich bereite gerade ein Update für vor , и .
SUSE- und openSUSE-Problem , da der symbolische Link für chrony direkt im /run-Verzeichnis erstellt wird, ohne zusätzliche Unterverzeichnisse zu verwenden.
Source: opennet.ru