Qualys ընկերությունը
Հեռակա շահագործվող խոցելիությունը առաջանում է libc գրադարանում նույնականացման մշակողին կանչելու սխալի պատճառով, որը կանչում է.
ծրագիրը /usr/libexec/auth/login_style արգումենտների փոխանցում հրամանի տողում: Ներառյալ «-s ծառայություն» կամընտիր պարամետրի միջոցով login_style զանգահարելիս, հնարավոր է փոխանցել արձանագրության անվանումը: Եթե օգտագործողի անվան սկզբում օգտագործեք «-» նիշը, ապա այս անունը կդիտարկվի որպես տարբերակ, երբ գործարկվում է login_style: Համապատասխանաբար, եթե նույնականացման ժամանակ որպես օգտվողի անուն նշեք «-schallenge» կամ «-schallenge:passwd», ապա login_style-ը կընկալի հարցումը որպես մշակիչի օգտագործման հարցում:
Խնդիրն այն է, որ S/Key արձանագրությունը login_style-ում աջակցվում է միայն պաշտոնապես, բայց իրականում անտեսվում է հաջող վավերացման նշանի ելքով: Այսպիսով, հարձակվողը կարող է, ներկայանալով որպես օգտագործողի «-մարտահրավեր», շրջանցել իսկությունը և մուտք ունենալ առանց գաղտնաբառի կամ բանալիների տրամադրման: Բոլոր ցանցային ծառայությունները, որոնք օգտագործում են նույնականացման համար ստանդարտ libc զանգեր, կարող են ազդել խնդրի վրա: Օրինակ, նույնականացումը շրջանցելու հնարավորությունը աջակցվում է smtpd (AUTH PLAIN), ldapd և radiusd-ում:
Խոցելիությունը չի հայտնվում sshd-ում, քանի որ այն ունի լրացուցիչ պաշտպանություն, որը ստուգում է օգտատիրոջ ներկայությունը համակարգում: Այնուամենայնիվ, sshd-ը կարող է օգտագործվել համակարգի խոցելիությունը ստուգելու համար. «-sresponse:passwd» օգտվողի անունը մուտք գործելիս կապը կախված է, քանի որ sshd-ը սպասում է, որ login_passwd վերադարձնի մարտահրավերի պարամետրերը, իսկ login_passwd-ը սպասում է բացակայող պարամետրերին: ուղարկվել (անունը «- sresponse» դիտվում է որպես տարբերակ): Տեղական հարձակվողը կարող է պոտենցիալ փորձել շրջանցել նույնականացումը su utility-ում, սակայն «-sresponse» անունը փոխանցելով գործընթացը խափանում է՝ վերադարձնելով զրոյական ցուցիչ՝ getpwnam_r("-schallenge", ...) ֆունկցիան կատարելիս:
Այլ խոցելիություններ.
- CVE-2019-19520 Տեղական արտոնությունների ընդլայնում xlock օգտակար ծառայության մանիպուլյացիայի միջոցով, որը մատակարարվում է sgid դրոշակով, փոխելով խումբը «auth»-ի: Xlock կոդի մեջ դեպի գրադարաններ տանող ուղիների վերասահմանումն արգելվում է միայն այն դեպքում, երբ փոխվում է օգտագործողի նույնացուցիչը (setuid), ինչը հարձակվողին թույլ է տալիս փոխել «LIBGL_DRIVERS_PATH» միջավայրի փոփոխականը և կազմակերպել իր ընդհանուր գրադարանի բեռնումը, որի կոդը կկատարվի։ «auth» խմբին արտոնություններ բարձրացնելուց հետո։
- CVE-2019-19522 - Թույլ է տալիս տեղական օգտագործողին, ով «auth» խմբի անդամ է, գործարկել կոդը որպես արմատ, երբ S/Key կամ YubiKey նույնականացումը միացված է համակարգում (կանխադրված ակտիվ չէ): «auth» խմբին միանալը, որը հասանելի է xlock-ում վերը նշված խոցելիությունը շահագործելու միջոցով, թույլ է տալիս ֆայլեր գրել /etc/skey և /var/db/yubikey դիրեկտորիաներում: Օրինակ, հարձակվողը կարող է ավելացնել նոր ֆայլ /etc/skey/root՝ S/Key-ի միջոցով նույնականացման համար մեկանգամյա ստեղներ ստեղծելու համար որպես արմատային օգտվող:
- CVE-2019-19519 - ռեսուրսների սահմանաչափերի ավելացման հնարավորությունը կոմունալ ծառայության մանիպուլյացիայի միջոցով: Երբ նշված է «-L» տարբերակը, ինչը հանգեցնում է նույնականացման փորձերի ցիկլային կրկնմանը, եթե դրանք անհաջող են, օգտվողի դասը սահմանվում է միայն մեկ անգամ և չի վերականգնվում հետագա փորձերի ժամանակ: Հարձակվողը կարող է կատարել «su-l-L»՝ մեկ այլ հաշվի դասակարգով ուրիշի մուտք գործելու առաջին փորձի ժամանակ, բայց երկրորդ փորձի ժամանակ նա կարող է հաջողությամբ հաստատել որպես ինքն իրեն: Այս իրավիճակում օգտատերը ենթակա է սահմանափակումների՝ հիմնված օգտագործողի դասի վրա, որը նշված է առաջին փորձից (օրինակ՝ գործընթացների առավելագույն քանակը կամ հիշողության չափը գործընթացի համար): Մեթոդն աշխատում է միայն արտոնյալ օգտվողներից փոխառությունների սահմանաչափերի համար, քանի որ արմատային օգտվողը պետք է լինի անիվի խմբում):
Բացի այդ, կարող եք նշել
Source: opennet.ru