Ранливост во systemd-coredump што овозможува да се одреди мемориската содржина на suid програмите

Идентификувана е ранливост (CVE-2022-4415) во компонентата systemd-coredump, која ги обработува основните датотеки генерирани по паѓањето на процесите, дозволувајќи му на непривилегираниот локален корисник да ја одреди содржината на меморијата на привилегираните процеси што се извршуваат со знамето suid root. Стандардниот проблем со конфигурацијата е потврден на дистрибуциите openSUSE, Arch, Debian, Fedora и SLES.

Ранливоста е предизвикана од недостатокот на правилна обработка на параметарот fs.suid_dumpable sysctl во systemd-coredump, кој, кога е поставен на стандардната вредност од 2, овозможува генерирање на основни депонии за процеси со знаменцето suid. Разбирливо е дека основните датотеки на suid процеси напишани од кернелот мора да имаат права за пристап поставени да дозволуваат читање само од корисникот на root. Услужната алатка systemd-coredump, која е повикана од кернелот за зачувување основни датотеки, ја складира основната датотека под root ID, но дополнително обезбедува пристап за читање базиран на ACL до основните датотеки врз основа на ID на сопственикот кој првично го започнал процесот .

Оваа функција ви овозможува да преземате основни датотеки без да се земе предвид фактот дека програмата може да го промени корисничкиот ID и да работи со зголемени привилегии. Нападот се сведува на фактот дека корисникот може да започне suid апликација и да му испрати SIGSEGV сигнал, а потоа да ја вчита содржината на основната датотека, која вклучува мемориски дел од процесот за време на ненормално завршување.

На пример, корисникот може да изврши „/usr/bin/su“ и во друг терминал да го прекине неговото извршување со командата „kill -s SIGSEGV `pidof su`“, по што systemd-coredump ќе ја зачува основната датотека во /var /lib/systemd/ директориумот coredump, поставувајќи ACL за него што овозможува читање од тековниот корисник. Бидејќи алатката suid „su“ ја чита содржината на /etc/shadow во меморијата, напаѓачот може да добие пристап до информации за хашот на лозинката на сите корисници на системот. Sudo алатката не е подложна на напад, бидејќи забранува генерирање основни датотеки преку ulimit.

Според програмерите на systemd, ранливоста се појавува почнувајќи од systemd release 247 (ноември 2020 година), но според истражувачот кој го идентификувал проблемот, засегнат е и изданието 246. Ранливоста се појавува ако systemd се компајлира со библиотеката libacl (стандардно во сите популарни дистрибуции). Поправката во моментов е достапна како лепенка. Можете да ги следите поправките во дистрибуциите на следните страници: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Gentoo, Arch. Како безбедносно решение, можете да поставите sysctl fs.suid_dumpable на 0, што го оневозможува испраќањето депонии до управувачот на systemd-coredump.

Извор: opennet.ru