Veikleiki (CVE-2022-37706) hefur fundist í notendaumhverfi Enlightenment, sem gerir óréttindalausum staðbundnum notanda kleift að keyra kóða með rótarréttindum. Veikleikinn hefur ekki enn verið lagfærður (núlldagsuppfærsla), en nýting sem hefur verið prófuð í almenningseign er þegar tiltæk. Ubuntu 22.04.
Vandamálið er í enlightenment_sys keyrslunni, sem kemur með suid rótfánanum og framkvæmir ákveðnar leyfilegar skipanir í gegnum system() kallið, eins og að tengja drifið með mount gagninu. Vegna rangrar virkni fallsins sem myndar strenginn sem er sendur í system() símtalið eru gæsalappir klipptir úr rökum ræstrar skipunar sem hægt er að nota til að keyra þinn eigin kóða. Til dæmis, þegar þú keyrir mkdir -p /tmp/net mkdir -p "/tmp/;/tmp/exploit" echo "/bin/sh" > /tmp/exploit chmod a+x /tmp/exploit enlightenment_sys /bin/mount - o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), "/dev/../tmp/;/tmp/exploit" /tmp// / net
vegna þess að tvöfaldar gæsalappir eru klipptar, í stað tilgreindrar skipunar '/bin/mount … "/dev/../tmp/;/tmp/exploit" /tmp///net', verður strengur án tvöfaldra gæsalappa send til system() aðgerðin ' /bin/mount … /dev/../tmp/;/tmp/exploit /tmp///net' sem mun valda því að skipunin '/tmp/exploit /tmp///net' verður framkvæmt sérstaklega í stað þess að vera meðhöndlað sem hluti af leiðinni að tækinu. Strengirnir "/dev/../tmp/" og "/tmp///net" eru valdir til að komast framhjá enlightenment_sys mount skipunarröksemdaprófun (tengitækið verður að byrja á /dev/ og benda á núverandi skrá, og þrír "/" við festingarpunktinn eru tilgreindir til að ná nauðsynlegri slóðastærð).
Heimild: opennet.ru
