રુટ ઍક્સેસની મંજૂરી આપતા જ્ઞાનવર્ધક વપરાશકર્તા પર્યાવરણમાં નબળાઈ

એનલાઇટનમેન્ટ યુઝર એન્વાયર્નમેન્ટમાં એક નબળાઈ (CVE-2022-37706) મળી આવી છે, જે એક અનપ્રિવિલેજ્ડ સ્થાનિક યુઝરને રૂટ વિશેષાધિકારો સાથે કોડ ચલાવવાની મંજૂરી આપે છે. આ નબળાઈ હજુ સુધી પેચ કરવામાં આવી નથી (શૂન્ય-દિવસ), પરંતુ પબ્લિક ડોમેનમાં પરીક્ષણ કરાયેલ એક્સપ્લોઇટ પહેલેથી જ ઉપલબ્ધ છે. Ubuntu 22.04.

આ સમસ્યા enlightenment_sys એક્ઝેક્યુટેબલમાં અસ્તિત્વ ધરાવે છે, જે suid રુટ ફ્લેગ સાથે આવે છે અને system() કોલ દ્વારા ચોક્કસ પરવાનગી આપેલ આદેશો એક્ઝેક્યુટ કરે છે, જેમ કે માઉન્ટ યુટિલિટી સાથે ડ્રાઇવ માઉન્ટ કરવી. system() કોલને પસાર થતી સ્ટ્રિંગ બનાવતા ફંક્શનમાં ખામીને કારણે, ચલાવવામાં આવી રહેલા આદેશના દલીલોમાંથી અવતરણ ચિહ્નો દૂર કરવામાં આવે છે, જેનો ઉપયોગ કસ્ટમ કોડ ચલાવવા માટે થઈ શકે છે. ઉદાહરણ તરીકે, mkdir -p /tmp/net mkdir -p "/tmp/;/tmp/exploit" ચલાવતી વખતે echo "/bin/sh" > /tmp/exploit chmod a+x /tmp/exploit enlightenment_sys /bin/mount -o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), "/dev/../tmp/;/tmp/exploit" /tmp///net

ડબલ અવતરણ ચિહ્નો દૂર થવાને કારણે, ઉલ્લેખિત આદેશ '/bin/mount … "/dev/../tmp/;/tmp/exploit" /tmp///net' ને બદલે, ડબલ અવતરણ ચિહ્નો વગરની સ્ટ્રિંગ '/bin/mount … /dev/../tmp/;/tmp/exploit /tmp///net' સિસ્ટમ() ફંક્શનમાં પસાર થશે, જેના પરિણામે '/tmp/exploit /tmp///net' આદેશ ઉપકરણના પાથના ભાગ રૂપે પ્રક્રિયા કરવાને બદલે અલગથી ચલાવવામાં આવશે. enlightenment_sys માં માઉન્ટ આદેશના દલીલ ચકાસણીને બાયપાસ કરવા માટે "/dev/../tmp/" અને "/tmp///net" શબ્દમાળાઓ પસંદ કરવામાં આવે છે (માઉન્ટ ઉપકરણ /dev/ થી શરૂ થવું જોઈએ અને અસ્તિત્વમાંની ફાઇલ તરફ નિર્દેશ કરવું જોઈએ, અને જરૂરી પાથ કદ પ્રાપ્ત કરવા માટે માઉન્ટ બિંદુ પર ત્રણ "/" અક્ષરો ઉલ્લેખિત છે).

સોર્સ: opennet.ru