Уязвимость в утилите eject, позволяющая повысить свои привилегии

28.03.2017 20:56

В утилите eject, предназначенной для инициирования операции извлечения съёмного накопителя (например, CD), обнаружена уязвимость (CVE-2017-6964), позволяющая локальному пользователю повысить свои привилегии в системе.

Утилита dmcrypt-get-device (/usr/lib/eject/dmcrypt-get-device), которая вызывается при запуске eject, выполняется с флагом suid root. Расширенные права требуются только для открытия файла /dev/mapper/control, после чего привилегии сбрасываются и разбор данных от device mapper производится под обычным непривилегированным пользователем. Суть проблемы в том, что разработчики полагали, что выполнение setuid(getuid()) всегда выполнятся успешно и не выполняли проверку возвращаемого значения. Атакующий может создать условия, при которых setuid не сможет быть выполнен (например, из-за превышения лимитов RLimitMEM или RLimitNPROC) и тогда выполнение продолжится без сброса привилегий.

Так как dmcrypt-get-device поставляется только в Debian и Ubuntu, лишь данные дистрибутивы подвержены проблеме (обновления с исправлениями уже выпущены).

исправить +9 +/–

Главная ссылка к новости (http://seclists.org/bugtraq/20...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46267-eject

Ключевые слова: eject, suid, ubuntu

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (26)

1.1, EuPhobos (ok), 21:22, 28/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+18 +/–
Пытаюсь сделать eject /dev/sde, а флэшка не выпрыгивает из порта, похоже не работает эта программулина..

2.2, Maks (??), 21:33, 28/03/2017 [^] [^^] [^^^] [ответить]	+3 +/–
А в ReactOS выпрыгивает...

3.3, mihalych (ok), 22:06, 28/03/2017 [^] [^^] [^^^] [ответить]	+4 +/–
Проц с разъёма?

4.4, Crazy Alex (ok), 22:11, 28/03/2017 [^] [^^] [^^^] [ответить]	+8 +/–
от ужаса?

5.7, Аноним (-), 22:36, 28/03/2017 [^] [^^] [^^^] [ответить]	+/–
а-а-а-а! пипец..удалю сейчас нафиг этот eject от греха подальше..

4.6, A.Stahl (ok), 22:27, 28/03/2017 [^] [^^] [^^^] [ответить]	+/–
Птичка.

3.11, Мойша (??), 23:54, 28/03/2017 [^] [^^] [^^^] [ответить]	+6 +/–
Выпрыгивает, но пока нет.

2.18, Нанобот (ok), 11:00, 29/03/2017 [^] [^^] [^^^] [ответить]	–1 +/–
всё выпрыгивает, проверяй кривизну рук

1.8, Аноним (-), 23:02, 28/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Когда же уже вместо suid начнут использовать Capabilities и технологию сброса неиспользуемых системных вызовов...

2.20, Michael Shigorin (ok), 11:28, 29/03/2017 [^] [^^] [^^^] [ответить]	–1 +/–
> и технологию сброса неиспользуемых системных вызовов... syscall ejection? ;-)

3.22, Andrey Mitrofanov (?), 11:38, 29/03/2017 [^] [^^] [^^^] [ответить]	+/–
>> и технологию сброса неиспользуемых системных вызовов... > syscall ejection? ;-) coming out sandboxing. //не выпрыгивало шоб, а не этот ваш друпал.

1.9, Аноним (-), 23:44, 28/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> setuid(getuid()) всегда выполнятся успешно Ха! https://github.com/zalora/nixsap/blob/0bded4b541fa6b43026f9ca789dfb603ad366d35

1.10, iZEN (ok), 23:52, 28/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
% eject eject: Команда не найдена.

2.12, Аноним (-), 02:37, 29/03/2017 [^] [^^] [^^^] [ответить]	+10 +/–
И что это значит, CD уже устарели давно, а в BSD ещё не добавили их поддержку?

3.13, dimm (??), 05:19, 29/03/2017 [^] [^^] [^^^] [ответить]	+/–
во Фре cdcontrol используется.

3.16, A.Stahl (ok), 08:37, 29/03/2017 [^] [^^] [^^^] [ответить]	+/–
>CD уже устарели давно, а в BSD ещё не добавили Значит ещё недостаточно давно... А то ишь, хипстеры-тарапуньки...

3.17, Аноним (-), 10:01, 29/03/2017 [^] [^^] [^^^] [ответить]	+/–
Однако в нормально работающих ноутах ещё встречаются :)

3.24, Аноним (-), 13:54, 29/03/2017 [^] [^^] [^^^] [ответить]	+/–
> И что это значит, CD уже устарели давно, а в BSD ещё > не добавили их поддержку? У вас есть bsdgrep? Нет? И когда вам там добавят поиск?

1.14, лютый жабист__ (?), 07:05, 29/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Блюрэй ещё не устарело.

2.15, kamagan (?), 07:45, 29/03/2017 [^] [^^] [^^^] [ответить]	+9 +/–
Блюрэй устарело ещё до того как появилось.

1.19, Нанобот (ok), 11:28, 29/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
подождите-подождите. конкретно эта уязвимость не позволяет повысить привилегии, она лишь оставляет безобидному процессу dmcrypt-get-device права, которые ему не положены. dmcrypt-get-device не пытается делать что-либо, что могло бы привести в выполнению кода. Для повышения привилегий нужно найти и проэксплуатировать ещё одну уязвимость далее по коду, что крайне маловероятно...особенно учитывая, что там дальше по коду всего 11 строк (4 из которых - 'return')

2.21, Аноним (-), 11:35, 29/03/2017 [^] [^^] [^^^] [ответить]	+/–
По логике это конечно так, но непонятно почему в USN-3246-1 написали "Eject could be made to run programs as an administrator... A local attacker could use this issue to execute code as an administrator." Обычно они наоборот пытаются принизить опасность уязвимости, смягчая словами типа "теоретически" или "потенционально". А тут прямо рубанули, нужно глянуть dmcrypt-get-device из пакета, может из него и правда что-то ещё запускается или какой-нибудь лог в /tmp записывается.

2.23, freehck (ok), 12:10, 29/03/2017 [^] [^^] [^^^] [ответить]	+/–
Во-во. Где там в eject можно перехватить управление, чтобы он со своими повышенными привилегиями выполнил моего зловреда? Новость как-то обманывает.

3.26, Аноним (-), 16:14, 29/03/2017 [^] [^^] [^^^] [ответить]	+/–
Я подумал так же ещё когда читал заголовок.

3.27, pavlinux (ok), 04:21, 31/03/2017 [^] [^^] [^^^] [ответить]

+1 +/–

$ export PATH=./

$ echo "chmod 7777 /bin/rm" > ./umount;

setuid(getuid()); /* reduce likelyhood of security holes when running setuid */
  if(p_option) {
  execlp("pumount", "pumount", fullName, "-n", NULL);
  execlp("umount", "umount", fullName, "-n", NULL);

$ /bin/rm -rf /*

Опа...

4.28, freehck (ok), 11:35, 31/03/2017 [^] [^^] [^^^] [ответить]	+/–
Да, это, пожалуй, сработает. Круто. :)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: