В การใช้โปรโตคอล NTP ที่ใช้ในการซิงโครไนซ์เวลาที่แน่นอนในลีนุกซ์รุ่นต่างๆ ช่องโหว่ () ช่วยให้คุณสามารถเขียนทับไฟล์ใดๆ บนระบบด้วยการเข้าถึง chrony ผู้ใช้ที่ไม่มีสิทธิพิเศษในเครื่อง ช่องโหว่นี้สามารถถูกโจมตีผ่านระบบ chrony ของผู้ใช้เท่านั้น ซึ่งจะช่วยลดความเสี่ยงได้ อย่างไรก็ตาม ปัญหานี้กระทบต่อระดับการแยกใน chrony และอาจถูกโจมตีได้หากมีการระบุช่องโหว่อื่นในโค้ดที่ดำเนินการหลังจากรีเซ็ตสิทธิ์การใช้งานแล้ว
ช่องโหว่นี้เกิดจากการสร้างไฟล์ pid ที่ไม่ปลอดภัย ซึ่งถูกสร้างขึ้นในขั้นตอนที่ chrony ยังไม่ได้รีเซ็ตสิทธิ์และทำงานเป็น root ในกรณีนี้ ไดเร็กทอรี /run/chrony ซึ่งมีการเขียนไฟล์ pid ถูกสร้างขึ้นด้วยสิทธิ์ 0750 ผ่าน systemd-tmpfiles หรือเมื่อมีการเปิดใช้งาน chronyd โดยเชื่อมโยงกับผู้ใช้และกลุ่ม "chrony" ดังนั้น หากคุณมีสิทธิ์เข้าถึงผู้ใช้ chrony ก็เป็นไปได้ที่จะแทนที่ไฟล์ pid /run/chrony/chronyd.pid ด้วยลิงก์สัญลักษณ์ ลิงก์สัญลักษณ์สามารถชี้ไปที่ไฟล์ระบบใดๆ ที่จะถูกเขียนทับเมื่อเปิดใช้งาน chronyd
root# systemctl หยุด chronyd.service
root# sudo -u chrony /bin/bash
chrony$ cd /run/chrony
chrony$ ln -s /etc/shadow chronyd.pid
ทางออก $ chrony
root# /usr/sbin/chronyd -n
^C
# แทนที่จะเป็นเนื้อหาของ /etc/shadow รหัสกระบวนการ chronyd จะถูกบันทึก
root# cat /etc/shadow
15287
ช่องโหว่ ในประเด็น . มีการอัปเดตแพ็คเกจที่แก้ไขช่องโหว่ . อยู่ระหว่างการเตรียมการอัพเดตสำหรับ , и .
ปัญหา SUSE และ openSUSE เนื่องจากลิงก์สัญลักษณ์สำหรับ chrony ถูกสร้างขึ้นโดยตรงในไดเร็กทอรี /run โดยไม่ต้องใช้ไดเร็กทอรีย่อยเพิ่มเติม
ที่มา: opennet.ru