פגיעות בסביבת המשתמש של Enlightenment המאפשרת לך לקבל זכויות שורש

זוהתה פגיעות (CVE-2022-37706) בסביבת המשתמש של Enlightenment המאפשרת למשתמש מקומי ללא הרשאות להפעיל קוד עם זכויות שורש. הפגיעות עדיין לא תוקנה (0-יום), אבל כבר יש ניצול זמין ברשות הציבור, שנבדק באובונטו 22.04.

הבעיה היא בקובץ ההפעלה enlightenment_sys, שנשלח עם דגל השורש suid ומבצע פקודות מותרות מסוימות, כגון הרכבת הכונן עם כלי ה-mount, באמצעות קריאה למערכת(). עקב פעולה שגויה של הפונקציה שיוצרת את המחרוזת המועברת לקריאה system(), נחתכים מרכאות מהארגומנטים של הפקודה המופעלת, אשר ניתן להשתמש בהם כדי להפעיל קוד משלך. לדוגמה, בעת הפעלת mkdir -p /tmp/net mkdir -p "/tmp/;/tmp/exploit" echo "/bin/sh" > /tmp/exploit chmod a+x /tmp/exploit enlightenment_sys /bin/mount - o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), "/dev/../tmp/;/tmp/exploit" /tmp// / נטו

עקב הסרת מרכאות כפולות, במקום הפקודה שצוינה '/bin/mount ... "/dev/../tmp/;/tmp/exploit" /tmp///net' תהיה מחרוזת ללא מרכאות כפולות. הועבר לפונקציית system() ' /bin/mount … /dev/../tmp/;/tmp/exploit /tmp///net', מה שיגרום לפקודה '/tmp/exploit /tmp///net ' לביצוע בנפרד במקום להיות מעובד כחלק מהנתיב למכשיר. השורות "/dev/../tmp/" ו-"/tmp///net" נבחרות כדי לעקוף את בדיקת הארגומנטים עבור פקודת ה-mount ב-enlightenment_sys (התקן ה-mount חייב להתחיל עם /dev/ ולהצביע על קובץ קיים, ושלושת התווים "/" בנקודת ההרכבה מצוינים כדי להשיג את גודל הנתיב הנדרש).

מקור: OpenNet.ru