Haavatavus (CVE-2022-4415) on tuvastatud komponendis systemd-coredump, mis töötleb pärast protsesside kokkujooksmist loodud põhifaile, võimaldades privilegeeritud kohalikul kasutajal määrata suid juurlipuga töötavate privilegeeritud protsesside mälu sisu. Vaikekonfiguratsiooni probleem on kinnitatud openSUSE, Archi, Debiani, Fedora ja SLES distributsioonides.
Haavatavuse põhjuseks on parameetri fs.suid_dumpable sysctl korrektne töötlemine süsteemis systemd-coredump, mis, kui see on seatud vaikeväärtusele 2, võimaldab genereerida tuumiku väljavõtteid suid lipuga protsesside jaoks. Arusaadavalt peavad kerneli kirjutatud suid-protsesside põhifailidel olema juurdepääsuõigused, mis võimaldavad lugemist ainult juurkasutajale. Utiliit systemd-coredump, mida kernel kutsub tuumfailide salvestamiseks, salvestab põhifaili juur-ID alla, kuid pakub lisaks ACL-põhist lugemisjuurdepääsu põhifailidele protsessi algselt käivitanud omaniku ID alusel. .
See funktsioon võimaldab teil alla laadida põhifaile, arvestamata asjaoluga, et programm saab muuta kasutaja ID-d ja töötada kõrgendatud õigustega. Rünnak taandub asjaolule, et kasutaja saab käivitada suid-rakenduse ja saata sellele SIGSEGV-signaali ning seejärel laadida põhifaili sisu, mis sisaldab protsessi mälulõiku ebanormaalse lõpetamise ajal.
Näiteks saab kasutaja käivitada faili „/usr/bin/su” ja mõnes teises terminalis lõpetada selle täitmise käsuga „kill -s SIGSEGV `pidof su”, misjärel süsteemd-coredump salvestab põhifaili kausta /var. /lib/systemd/ kataloogi coredump, määrates sellele ACL-i, mis võimaldab praegusel kasutajal lugeda. Kuna utiliit suid 'su' loeb /etc/shadow sisu mällu, pääseb ründaja juurde teabele kõigi süsteemi kasutajate parooliräsi kohta. Sudo utiliit ei ole rünnakutele vastuvõtlik, kuna see keelab põhifailide genereerimise ulimiti kaudu.
Süsteemi arendajate sõnul ilmneb haavatavus alates systemd versioonist 247 (november 2020), kuid probleemi tuvastanud teadlase sõnul mõjutab see ka väljalaset 246. Haavatavus ilmneb juhul, kui systemd on kompileeritud libacl teegiga (vaikimisi kõik populaarsed distributsioonid). Parandus on praegu saadaval paigana. Distributsioonide parandusi saate jälgida järgmistel lehtedel: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Gentoo, Arch. Turvalahendusena saate määrata sysctl fs.suid_dumpable väärtuseks 0, mis keelab väljavõtete saatmise töötlejasse systemd-coredump.
Allikas: opennet.ru