Dinamikus rakodó , amely az OpenBSD-hez tartozik, bizonyos feltételek mellett - az alkalmazások elhagyják az LD_LIBRARY_PATH környezeti változót, és így lehetővé teszik harmadik féltől származó kód betöltését egy emelt szintű jogosultságokkal futó folyamat keretében. A biztonsági rést javító javítások elérhetők a kiadásokhoz и . Bináris foltok ().
A probléma lényege: működés közben az ld.so először kivonja a környezetből az LD_LIBRARY_PATH változó értékét, és a _dl_split_path() függvény segítségével karakterláncok tömbjévé alakítja - könyvtárak elérési útjai. Ha később kiderül, hogy az aktuális folyamatot egy SUID/SGID alkalmazás indította el, akkor a létrehozott tömb és valójában az LD_LIBRARY_PATH változó törlődik. Ugyanakkor, ha a _dl_split_path() kifogy a memóriából (ami nehéz a környezeti változók méretének 256 kB-os explicit korlátja miatt, de elméletileg lehetséges), akkor a _dl_libpath változó NULL értéket kap, és ezt követően ellenőrizni kell. Ennek a változónak az értékéből kihagyja a _dl_unsetenv("LD_LIBRARY_PATH") hívást.
Sebezhetőséget találtak a szakértők , továbbá problémákat. A biztonsági rést azonosító biztonsági kutatók megjegyezték, milyen gyorsan sikerült megoldani a problémát: javítást készítettek, és az OpenBSD projekt értesítése után három órán belül kiadták a frissítéseket.
Kiegészítés: A probléma számot kapott . Az oss-security levelezőlistán készült , beleértve az OpenBSD 6.6, 6.5, 6.2 és 6.1 architektúrákon futó prototípus exploitot
amd64 és i386 (az exploit más architektúrákhoz is adaptálható).
A probléma az alapértelmezett telepítésben kihasználható, és lehetővé teszi a jogosulatlan helyi felhasználók számára, hogy a chpass vagy passwd suid segédprogramok futtatásakor könyvtárhelyettesítésen keresztül rootként hajtsanak végre kódot. A működéshez szükséges kevés memória feltételeinek megteremtéséhez állítsa be az RLIMIT_DATA korlátot a setrlimit segítségével.
Forrás: opennet.ru