Varnarleysi (CVE-2022-4415) hefur verið greint í systemd-coredump íhlutnum, sem vinnur úr kjarnaskrám sem eru búnar til eftir hrun ferla, sem gerir staðbundnum notanda án forréttinda að ákvarða minnisinnihald forréttindaferla sem keyra með suid rótfánanum. Sjálfgefin stillingarvandamál hefur verið staðfest á openSUSE, Arch, Debian, Fedora og SLES dreifingum.
Varnarleysið stafar af skorti á réttri vinnslu á fs.suid_dumpable sysctl færibreytunni í systemd-coredump, sem, þegar stillt er á sjálfgefið gildi 2, gerir kleift að búa til kjarna dumpa fyrir ferla með suid fána. Það er litið svo á að kjarnaskrár suid-ferla sem eru skrifaðar af kjarnanum verða að hafa aðgangsréttindi stillt til að leyfa lestur eingöngu af rótarnotandanum. Systemd-coredump tólið, sem er kallað af kjarnanum til að vista kjarnaskrár, geymir kjarnaskrána undir rótauðkenninu, en veitir að auki ACL-undirstaðan lesaðgang að kjarnaskránum byggt á auðkenni eigandans sem upphaflega hóf ferlið .
Þessi eiginleiki gerir þér kleift að hlaða niður kjarnaskrám án tillits til þess að forritið getur breytt notandaauðkenni og keyrt með auknum réttindum. Árásin snýst um það að notandi getur ræst suid forrit og sent því SIGSEGV merki og síðan hlaðið inn innihaldi kjarnaskrár, sem inniheldur minnissneið af ferlinu meðan á óeðlilegri uppsögn stendur.
Til dæmis getur notandi keyrt “/usr/bin/su” og í annarri flugstöð stöðvað framkvæmd þess með skipuninni “kill -s SIGSEGV `pidof su`”, eftir það mun systemd-coredump vista kjarnaskrána í /var /lib/systemd/ mappa coredump, stillir ACL fyrir hana sem gerir núverandi notanda kleift að lesa. Þar sem suid tólið 'su' les innihald /etc/shadow inn í minnið, getur árásarmaður fengið aðgang að upplýsingum um lykilorðagildi allra notenda á kerfinu. Sudo tólið er ekki næmt fyrir árásum, þar sem það bannar myndun kjarnaskráa í gegnum ulimit.
Samkvæmt systemd forriturum virðist varnarleysið frá og með systemd útgáfu 247 (nóvember 2020), en samkvæmt rannsakanda sem greindi vandamálið hefur útgáfa 246 einnig áhrif. Varnarleysið birtist ef systemd er sett saman með libacl bókasafninu (sjálfgefið í allar vinsælar dreifingar). Lagfæringin er nú fáanleg sem plástur. Þú getur fylgst með lagfæringunum í dreifingunum á eftirfarandi síðum: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Gentoo, Arch. Sem öryggisráðstafanir geturðu stillt sysctl fs.suid_dumpable á 0, sem gerir það að verkum að óvirkt er að senda dumpa til systemd-coredump meðhöndlunar.
Heimild: opennet.ru