취약성 Linux- 사용자가 접근할 수 없는 파일을 읽을 수 있도록 하는 pidfd 서브시스템

핵심에서 Linux 지난 2주 동안 다섯 번째(1, 2, 3) 심각한 취약점이 발견되었으며, 이로 인해 사용자가 시스템에서 권한을 상승시킬 수 있습니다. 두 가지 실행 가능한 익스플로잇이 공개되었습니다. sshkeysign_pwn은 권한이 없는 사용자가 개인 호스트 SSH 키의 내용(/etc/ssh/ssh_host_*_key)을 읽을 수 있도록 허용하고, chage_pwn은 권한이 없는 사용자가 사용자 암호 해시가 포함된 /etc/shadow 파일의 내용을 읽을 수 있도록 허용합니다.

해당 취약점은 공개를 목적으로 한 것은 아니었지만, 한 보안 연구원이 커널 패치 제안을 통해 루트 사용자만 접근할 수 있는 파일(예: /etc/shadow)을 읽을 수 있도록 허용하는 취약점을 발견했습니다. 해당 커널 변경 사항은 ptrace_may_access() 함수에서 접근 수준을 판단할 때 ptrace의 get_dumpable() 함수를 사용하는 로직을 수정하는 것이었습니다.

이 취약점은 suid 루트 프로세스에서 파일에 접근한 후, 권한이 없는 사용자가 pidfd 파일 디스크립터에 접근할 수 있도록 허용하는 경쟁 조건(race condition) 때문에 발생합니다. suid 프로그램에서 파일을 열고 권한을 재설정하기 전(예: setreuid 함수를 통해)에, suid 루트 프로그램을 실행하는 애플리케이션이 파일 권한이 허용되지 않더라도 suid 프로그램이 연 파일에 pidfd 디스크립터를 통해 접근할 수 있는 상황이 발생합니다.

이 취약점은 "__ptrace_may_access()" 함수가 exit_mm() 호출 후 exit_files() 호출 전에 task->mm 필드가 NULL로 설정되면 파일 접근 여부 확인을 건너뛰기 때문에 발생합니다. 현재 pidfd_getfd 시스템 호출은 호출 프로세스의 사용자 ID(uid)가 파일에 접근할 권한이 있는 사용자 ID와 일치한다고 가정합니다. 이 문제는 2020년에 이미 제기되었지만 여전히 해결되지 않은 상태입니다.

/etc/shadow 파일의 내용을 탈취하는 익스플로잇에서 공격은 suid root 플래그를 사용하여 fork+execl 명령으로 /usr/bin/chage 애플리케이션을 반복적으로 실행하여 /etc/shadow 파일의 내용을 읽는 방식으로 이루어집니다. 프로세스가 fork된 후에는 pidfd_open 시스템 호출이 실행되고, pidfd_getfd 시스템 호출을 통해 사용 가능한 pidfd 디스크립터를 순회하며 /proc/self/fd를 통해 검증하는 루프가 수행됩니다. sshkeysign_pwn 익스플로잇에서도 suid root 권한으로 실행되는 ssh-keysign 프로그램을 사용하여 유사한 조작이 수행됩니다.

해당 문제는 아직 CVE 식별자가 부여되지 않았으며, 커널 및 패키지 업데이트도 배포판에 게시되지 않았습니다. 이 취약점은 몇 시간 전에 출시된 커널 7.0.7, 6.18.30, 6.12.88에서 여전히 패치되지 않은 상태입니다. 현재로서는 패치만 사용할 수 있습니다. sysctl kernel.yama.ptrace_scope=3 설정이나 시스템 실행 파일(적어도 익스플로잇에 사용되는 ssh-keysign 및 chage 유틸리티)에서 suid root 플래그를 제거하는 등의 해결 방법이 논의 중입니다.

업데이트: 해당 취약점은 CVE-2026-46333으로 명명되었습니다. 커널 업데이트가 생성되었습니다. Linux 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 및 5.10.256 버전에는 취약점 수정 사항이 포함되어 있습니다. 이러한 배포판의 취약점 수정 상태는 다음 페이지에서 확인할 수 있습니다. Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.

출처 : opennet.ru