ld.so OpenBSD의 취약점

동적 로더 ld.soOpenBSD에 포함된 는 특정 조건에서 SUID/SGID- 애플리케이션은 LD_LIBRARY_PATH 환경 변수를 그대로 유지하므로 상승된 권한으로 실행되는 프로세스의 컨텍스트에서 타사 코드가 로드될 수 있습니다. 취약점을 수정하는 패치가 릴리스에 제공됩니다. 6.5 и 6.6. 바이너리 패치(syspatch) amd64의 경우 i386 및 arm64 플랫폼은 이미 생산 중이며 이 뉴스가 게시될 때까지 다운로드할 수 있어야 합니다.

문제의 본질: 작업 중에 ld.so는 먼저 환경에서 LD_LIBRARY_PATH 변수의 값을 추출하고 _dl_split_path() 함수를 사용하여 이를 문자열 배열(디렉토리 경로)로 변환합니다. 나중에 현재 프로세스가 SUID/SGID 응용 프로그램에 의해 시작된 것으로 밝혀지면 생성된 배열과 실제로 LD_LIBRARY_PATH 변수가 지워집니다. 동시에 _dl_split_path()에 메모리가 부족하면(환경 변수 크기에 대한 명시적인 256kB 제한으로 인해 어렵지만 이론적으로는 가능함) _dl_libpath 변수는 NULL 값을 수신하고 후속 검사에서는 이 변수의 값은 _dl_unsetenv("LD_LIBRARY_PATH")에 대한 호출을 강제로 건너뜁니다.

전문가가 발견한 취약점 품질, 게다가 이전에 공개된 여러 가지 문제. 취약점을 확인한 보안 연구원들은 문제가 얼마나 빨리 해결되었는지 언급했습니다. OpenBSD 프로젝트가 알림을 받은 후 XNUMX시간 이내에 패치가 준비되고 업데이트가 릴리스되었습니다.

추가: 문제에 번호가 할당되었습니다. CVE-2019-19726. oss-security 메일링 리스트에 작성됨 공식 발표, OpenBSD 6.6, 6.5, 6.2 및 6.1 아키텍처에서 실행되는 프로토타입 익스플로잇을 포함
amd64 및 i386(이 익스플로잇은 다른 아키텍처에 적용 가능)
이 문제는 기본 설치에서 악용될 수 있으며 chpass 또는 passwd suid 유틸리티를 실행할 때 권한 없는 로컬 사용자가 라이브러리 대체를 통해 루트로 코드를 실행할 수 있도록 허용합니다. 작업에 필요한 메모리 부족 조건을 생성하려면 setrlimit를 통해 RLIMIT_DATA 제한을 설정합니다.

출처 : opennet.ru