روشن خیالی صارف ماحول (CVE-2022-37706) میں ایک کمزوری کی نشاندہی کی گئی ہے جو ایک غیر مراعات یافتہ مقامی صارف کو کوڈ کو روٹ کے طور پر انجام دینے کی اجازت دے سکتی ہے۔ خطرے کو ابھی تک طے نہیں کیا گیا ہے (0-دن)، لیکن عوامی ڈومین میں پہلے سے ہی ایک استحصال موجود ہے، جس کا اوبنٹو 22.04 میں تجربہ کیا گیا ہے۔
مسئلہ enlightenment_sys ایگزیکیوٹیبل میں ہے، جو سوڈ روٹ فلیگ کے ساتھ آتا ہے اور سسٹم() کال کے ذریعے کچھ اجازت یافتہ کمانڈز پر عملدرآمد کرتا ہے، جیسے کہ ماؤنٹ یوٹیلیٹی کے ساتھ ڈرائیو کو ماؤنٹ کرنا۔ فنکشن کے غلط آپریشن کی وجہ سے جو سسٹم() کال میں سٹرنگ کو پاس کرتا ہے، لانچ کی گئی کمانڈ کے دلائل سے کوٹس کاٹ دیے جاتے ہیں، جو آپ کے اپنے کوڈ کو چلانے کے لیے استعمال کیے جا سکتے ہیں۔ مثال کے طور پر، mkdir -p /tmp/net mkdir -p چلاتے وقت "/tmp/;/tmp/exploit" echo "/bin/sh" > /tmp/exploit chmod a+x /tmp/exploit enlightenment_sys /bin/mount - o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id-u), "/dev/../tmp/;/tmp/exploit" /tmp// / نیٹ
دوہرے اقتباسات کے کٹ جانے کی وجہ سے، مخصوص کمانڈ '/bin/mount … "/dev/../tmp/;/tmp/exploit" /tmp///net' کے بجائے، ڈبل کوٹس کے بغیر ایک سٹرنگ کو پاس کیا جائے گا۔ سسٹم() فنکشن ' /bin/mount … /dev/../tmp/;/tmp/exploit /tmp///net' جو کمانڈ '/tmp/exploit /tmp///net' کا سبب بنے گا۔ آلہ کے راستے کے حصے کے طور پر سلوک کرنے کے بجائے الگ سے پھانسی دی گئی۔ ڈور "/dev/../tmp/" اور "/tmp///net" کا انتخاب enlightenment_sys ماؤنٹ کمانڈ آرگومنٹ چیکنگ کو نظرانداز کرنے کے لیے کیا جاتا ہے (ماؤنٹ ڈیوائس کو /dev/ پر شروع ہونا چاہیے اور موجودہ فائل کی طرف اشارہ کرنا چاہیے، اور تین "/" ماؤنٹ پوائنٹ پر مطلوبہ راستے کے سائز کو حاصل کرنے کے لیے مخصوص کیے گئے ہیں)۔
ماخذ: opennet.ru