https://opennet.dev/openforum/vsluhforumID3/110797.html В утилите eject, предназначенной для инициирования операции извлечения съёмного накопителя (например, CD), обнаружена (https://bugs.launchpad.net/ubuntu/+source/eject/+bug/1673627) уязвимость (CVE-2017-6964 (https://security-tracker.debian.org/tracker/CVE-2017-6964)), позволяющая локальному пользователю повысить свои привилегии в системе. <br><br><br>Утилита dmcrypt-get-device (https://github.com/pexip/os-eject/blob/master/dmcrypt-get-device.c) (/usr/lib/eject/dmcrypt-get-device), которая вызывается при запуске eject, выполняется с флагом suid root. Расширенные права требуются только для открытия файла /dev/mapper/control, после чего привилегии сбрасываются и разбор данных от device mapper производится под обычным непривилегированным пользователем. Суть проблемы в том, что разработчики полагали, что выполнение setuid(getuid()) всегда выполнятся успешно и не выполняли проверку возвращаемого значения. Атакующий может создать условия, при которых setuid не сможет быть выполнен (например, из-за превышения лимитов RLim https://opennet.dev/openforum/vsluhforumID3/110797.html#28 Fri, 31 Mar 2017 08:35:25 GMT Да, это, пожалуй, сработает. Круто. :)<br> https://opennet.dev/openforum/vsluhforumID3/110797.html#27 Fri, 31 Mar 2017 01:21:56 GMT $ export PATH=./ <br><br>$ echo "chmod 7777 /bin/rm" &gt; ./umount; <br><br>[code]<br>setuid(getuid()); /* reduce likelyhood of security holes when running setuid */<br> if(p_option) {<br> execlp("pumount", "pumount", fullName, "-n", NULL);<br> execlp("umount", "umount", fullName, "-n", NULL);<br>[/code]<br><br>$ /bin/rm -rf /* <br><br>Опа...<br> https://opennet.dev/openforum/vsluhforumID3/110797.html#26 Wed, 29 Mar 2017 13:14:51 GMT Я подумал так же ещё когда читал заголовок.<br> https://opennet.dev/openforum/vsluhforumID3/110797.html#24 Wed, 29 Mar 2017 10:54:28 GMT &gt; И что это значит, CD уже устарели давно, а в BSD ещё <br>&gt; не добавили их поддержку?<br><br>У вас есть bsdgrep? Нет? И когда вам там добавят поиск?<br> https://opennet.dev/openforum/vsluhforumID3/110797.html#23 Wed, 29 Mar 2017 09:10:23 GMT Во-во. Где там в eject можно перехватить управление, чтобы он со своими повышенными привилегиями выполнил моего зловреда? Новость как-то обманывает.<br> https://opennet.dev/openforum/vsluhforumID3/110797.html#22 Wed, 29 Mar 2017 08:38:03 GMT &gt;&gt; и технологию сброса неиспользуемых системных вызовов...<br>&gt; syscall ejection? ;-) <br><br>coming out sandboxing. //не выпрыгивало шоб, а не этот ваш друпал.<br> https://opennet.dev/openforum/vsluhforumID3/110797.html#21 Wed, 29 Mar 2017 08:35:12 GMT По логике это конечно так, но непонятно почему в USN-3246-1 написали "Eject could be made to run programs as an administrator... A local attacker could use this issue to execute code as an administrator." Обычно они наоборот пытаются принизить опасность уязвимости, смягчая словами типа "теоретически" или "потенционально". А тут прямо рубанули, нужно глянуть dmcrypt-get-device из пакета, может из него и правда что-то ещё запускается или какой-нибудь лог в /tmp записывается.<br> https://opennet.dev/openforum/vsluhforumID3/110797.html#20 Wed, 29 Mar 2017 08:28:56 GMT &gt; и технологию сброса неиспользуемых системных вызовов...<br><br>syscall ejection? ;-)<br> https://opennet.dev/openforum/vsluhforumID3/110797.html#19 Wed, 29 Mar 2017 08:28:33 GMT подождите-подождите. конкретно эта уязвимость не позволяет повысить привилегии, она лишь оставляет безобидному процессу dmcrypt-get-device права, которые ему не положены. dmcrypt-get-device не пытается делать что-либо, что могло бы привести в выполнению кода. <br><br>Для повышения привилегий нужно найти и проэксплуатировать ещё одну уязвимость далее по коду, что крайне маловероятно...особенно учитывая, что там дальше по коду всего 11 строк (4 из которых - 'return')<br>