ตัวโหลดแบบไดนามิก ซึ่งเป็นส่วนหนึ่งของ OpenBSD สามารถทำได้ภายใต้เงื่อนไขบางประการ - แอปพลิเคชันจะออกจากตัวแปรสภาพแวดล้อม LD_LIBRARY_PATH ซึ่งทำให้สามารถโหลดโค้ดจากบุคคลที่สามในบริบทของกระบวนการที่ทำงานด้วยสิทธิ์ระดับสูงได้ มีแพตช์แก้ไขช่องโหว่นี้สำหรับการเผยแพร่ и . แพทช์ไบนารี () สำหรับแพลตฟอร์ม amd64, i386 และ arm64 ได้เข้าสู่การผลิตแล้ว และควรจะพร้อมให้ดาวน์โหลดได้ทันทีเมื่อมีการเผยแพร่ข่าวนี้
ปัญหาคือ ld.so จะดึงตัวแปร LD_LIBRARY_PATH จากสภาพแวดล้อมก่อน แล้วใช้ฟังก์ชัน _dl_split_path() เพื่อแปลงตัวแปรดังกล่าวเป็นอาร์เรย์ของสตริง ซึ่งเป็นเส้นทางไดเรกทอรี หากภายหลังพบว่ากระบวนการปัจจุบันถูกเรียกใช้งานโดยแอปพลิเคชัน SUID/SGID อาร์เรย์ที่สร้างขึ้นและตัวตัวแปร LD_LIBRARY_PATH เองจะถูกล้าง นอกจากนี้ หาก _dl_split_path() พบว่าหน่วยความจำไม่เพียงพอ (ซึ่งเป็นเรื่องยากเนื่องจากข้อจำกัดขนาดตัวแปรสภาพแวดล้อมที่กำหนดไว้อย่างชัดเจนที่ 256 KB แต่เป็นไปได้ในทางทฤษฎี) ตัวแปร _dl_libpath จะถูกตั้งค่าเป็น NULL และการตรวจสอบค่าของตัวแปรนี้ในภายหลังจะทำให้การเรียกใช้ _dl_unsetenv("LD_LIBRARY_PATH") ถูกข้ามไป
ผู้เชี่ยวชาญได้ค้นพบช่องโหว่ดังกล่าวแล้ว , เหมือนกับ นักวิจัยด้านความปลอดภัยที่ระบุช่องโหว่ได้สังเกตถึงความรวดเร็วในการแก้ไขปัญหา โดยมีการเตรียมแพตช์และปล่อยอัปเดตภายในสามชั่วโมงหลังจากที่โครงการ OpenBSD ได้รับการแจ้งเตือน
เพิ่มเติม: ปัญหาได้รับการกำหนดหมายเลข รายชื่อส่งเมล oss-security ได้รับการอัปเดตแล้ว ซึ่งรวมถึงช่องโหว่ต้นแบบที่ทำงานบนสถาปัตยกรรม OpenBSD 6.6, 6.5, 6.2 และ 6.1
amd64 และ i386 (ช่องโหว่นี้สามารถนำไปปรับใช้กับสถาปัตยกรรมอื่นได้)
ช่องโหว่นี้สามารถถูกใช้ประโยชน์ได้ในการติดตั้งเริ่มต้น และอนุญาตให้ผู้ใช้ภายในเครื่องที่ไม่มีสิทธิ์ใช้งานสามารถรันโค้ดด้วยสิทธิ์ root ผ่านการแทนที่ไลบรารีเมื่อรันยูทิลิตี้ suid chpass หรือ passwd เพื่อสร้างเงื่อนไขหน่วยความจำต่ำที่จำเป็นสำหรับการใช้ประโยชน์ ขีดจำกัด RLIMIT_DATA จะถูกตั้งค่าผ่าน setrlimit
ที่มา: opennet.ru
