В , en implementering av NTP-protokollet som används för att synkronisera exakt tid i olika Linux-distributioner, sårbarhet (), så att du kan skriva över vilken fil som helst på systemet med åtkomst till den lokala oprivilegierade användarens chrony. Sårbarheten kan endast utnyttjas genom användarens chrony, vilket minskar dess fara. Problemet äventyrar dock isoleringsnivån i chrony och kan utnyttjas om en annan sårbarhet identifieras i koden som körs efter att privilegier har återställts.
Sårbarheten orsakas av det osäkra skapandet av en pid-fil, som skapades i ett skede då chrony ännu inte hade återställt privilegier och kördes som root. I det här fallet skapades katalogen /run/chrony, i vilken pid-filen är skriven, med rättigheterna 0750 via systemd-tmpfiler eller när chronyd lanserades i samband med användaren och gruppen "chrony". Således, om du har tillgång till användaren chrony, är det möjligt att ersätta pid-filen /run/chrony/chronyd.pid med en symbolisk länk. En symbolisk länk kan peka på vilken systemfil som helst som kommer att skrivas över när chronyd startas.
root# systemctl stoppa chronyd.service
root# sudo -u chrony /bin/bash
chrony$ cd /run/chrony
chrony$ ln -s /etc/shadow chronyd.pid
chrony$ exit
root# /usr/sbin/chronyd -n
^C
# istället för innehållet i /etc/shadow kommer chronyd process ID att sparas
root# cat /etc/shadow
15287
Sårbarhet i fråga . Paketuppdateringar som åtgärdar sårbarheten är tillgängliga för . Håller på att förbereda en uppdatering för , и .
SUSE och openSUSE problem , eftersom den symboliska länken för chrony skapas direkt i katalogen /run, utan att använda ytterligare underkataloger.
Källa: opennet.ru