Динамический загрузчик , входящий в состав OpenBSD, при определённых условиях может для -приложения оставить переменную окружения LD_LIBRARY_PATH и таким образом позволить загрузить сторонний код в контексте процесса, выполняемого с повышенными привилегиями. Патчи с исправлением уязвимости доступны для релизов и . Бинарные патчи () для платформ amd64, i386 и arm64 уже запущены в производство и должны быть доступны для загрузки к моменту публикации данной новости.
Суть проблемы: в ходе работы ld.so сначала извлекает из окружения значение переменной LD_LIBRARY_PATH, с помощью функции _dl_split_path() превращает его в массив строк — путей к каталогам. Если позднее выясняется, что текущий процесс запущен SUID/SGID-приложением, то созданный массив и, собственно, переменная LD_LIBRARY_PATH очищаются. При этом, если в ходе работы _dl_split_path() столкнётся с нехваткой памяти (что трудно из-за наличия явного ограничения на размер переменных окружения в 256 кБайт, но теоретически возможно), то переменная _dl_libpath получит значение NULL, и последующая проверка значения этой переменной заставит пропустить вызов _dl_unsetenv(«LD_LIBRARY_PATH»).
Уязвимость найдена специалистами , так же, как и проблем. Выявившие уязвимость исследователи безопасности отметили оперативность решения проблемы: патч был подготовлен, и обновления выпущены в течение трёх часов после получения уведомления проектом OpenBSD.
Дополнение: Проблеме присвоен номер . В списке рассылки oss-security сделан , включающий прототип эксплоита, работающий в OpenBSD 6.6, 6.5, 6.2 и 6.1 на архитектурах
amd64 и i386 (эксплоит может быть адаптирован и для других архитектур).
Проблема эксплуатируема в установке по умолчанию и позволяет непривилегированному локальному пользователю выполнить код с правами root через подстановку библиотеки при запуске suid-утилит chpass или passwd. Для создания необходимых для эксплуатации условий нехватки памяти используется установка ограничения RLIMIT_DATA через setrlimit.
Nguồn: opennet.ru