信息來源:FreeBuf
漏洞編號
CVE-2017-6074
漏洞概述
Linux內核近日又曝出權限提升漏洞,該漏洞可追溯至2005年,漏洞影響Linux操作系統(tǒng)主要發(fā)行版本,包括Redhat、Debian、OpenSUSE和Ubuntu。利用該漏洞,攻擊者可以從低權限進程中進行內核代碼執(zhí)行。目前已知受影響的最老版本是2.6.18(2006年9月),不過該漏洞可能在先前的版本中已經(jīng)存在,或許從支持DCCP開始(2005年10月的2.6.14)就已經(jīng)存在問題了。
在Seclists.org發(fā)布該漏洞的作者Andrey Konovalov表示,很快就會放出PoC,在此期間給予修復時間。
安全研究員Andrey Konovalov最近用Syzkaller fuzzing工具,發(fā)現(xiàn)了DCCP協(xié)議實現(xiàn)中的Linux內核漏洞,漏洞潛伏時間超過10年。
DCCP協(xié)議
DCCP協(xié)議是面向消息的傳輸層協(xié)議,可最小化數(shù)據(jù)包報頭帶來的開銷和終端處理的工程量。該協(xié)議可建立、維護和拆卸不可靠連接的數(shù)據(jù)流以及對不可靠數(shù)據(jù)流進行擁塞控制。
該DCCP雙重釋放漏洞可允許本地低權限用戶修改Linux內核內存,導致拒絕服務(系統(tǒng)崩潰),或者提升權限,獲得系統(tǒng)的管理訪問權限。
漏洞詳情
這是個UAF漏洞:在IPV6_RECVPKTINFO開啟的情況下,內核解析DCCP協(xié)議的流程中判斷已經(jīng)收到了DCCP_PKT_REQUEST返回包,就會釋放解析過程使用的SKB地址。(“DCCP protocol implementation freed SKB (socket buffer) resources for a DCCP_PKT_REQUEST packet when the IPV6_RECVPKTINFO option is set on the socket.”)
按現(xiàn)在的實現(xiàn),解析DCCP協(xié)議的流程中如果dccp_v6_conn_request有返回值,就會通過dccp_rcv_state_process中的__kfree_skb釋放掉解析過程中收到了DCCP_PKT_REQUEST返回包的SKB地址。但是,如果IPV6_RECVPKTINFO開啟的情況下編譯內核,skb地址就會被存儲在ireq->pktopts,而dccp_v6_conn_request中的引用計數(shù)會增加,這樣skb就仍然會被使用。直到dccp_rcv_state_process進程中才會被釋放。
攻擊者使用某些內核堆噴射技術就能控制任意對象,并用任意數(shù)據(jù)重寫其內容。如果重寫過的對象中包含任何可觸發(fā)的函數(shù)指針,攻擊者便可在該內核中執(zhí)行任意代碼。
這個漏洞并不是遠程代碼執(zhí)行漏洞,所以攻擊者必須擁有系統(tǒng)本地賬戶,才能利用該漏洞。
兩個月前,Linux內核也曝出了類似的提權漏洞CVE-2016-8655,該漏洞可以追溯到2011年,低權限本地用戶利用Linux內核af_packet實現(xiàn)中的競爭條件,可獲得root權限(漏洞詳情:http://www.freebuf.com/vuls/122152.html)。
修復方案
手動修復:調用consume_skb,而非跳轉discard并調用__kfree_skb。
更詳細的修復方案請點擊這里。如果你是高級Linux用戶,那么可以應用補丁,重新構建內核,或者等待發(fā)行商發(fā)布更新。