В , реалізації протоколу NTP, що використовується для синхронізації точного часу в різних дистрибутивах Linux, вразливість (), що дозволяє перезаписати будь-який файл у системі, маючи доступ до локального непривілейованого користувача chrony. Вразливість може бути експлуатована лише через користувача chrony, що знижує її небезпеку. Проте проблема компрометує рівень ізоляції в chrony і може використовуватися у разі виявлення іншої вразливості в коді, що виконується після скидання привілеїв.
Вразливість викликана небезпечним створенням pid-файлу, який створювався на етапі, коли chrony ще не скинув привілеї та виконується з правами root. При цьому каталог /run/chrony, який записується pid-файл, створювався з правами 0750 через systemd-tmpfiles або при запуску chronyd у прив'язці до користувача і групи «chrony». Таким чином, за наявності доступу до користувача chrony є можливість заміни pid-файлу /run/chrony/chronyd.pid на символічне посилання. Символічна посилання може вказувати на будь-який системний файл, який буде переписано під час запуску chronyd.
root# systemctl stop chronyd.service
root# sudo -u chrony /bin/bash
chrony$ cd /run/chrony
chrony$ ln -s /etc/shadow chronyd.pid
chrony$ exit
root# /usr/sbin/chronyd -n
^C
# замість вмісту /etc/shadow буде збережено ідентифікатор процесу chronyd
root# cat /etc/shadow
15287
уразливість у випуску . Оновлення пакетів з усуненням уразливості доступні для . У процесі підготовки оновлення для , и .
SUSE та openSUSE проблемі , оскільки символічне посилання для chrony створюється безпосередньо в каталозі /run, без застосування додаткових підкаталогів.
Джерело: opennet.ru