震惊!!!潜伏11年的Linux内核提权漏洞曝光

漏洞描述

漏洞编号:CVE-2017-6074

漏洞危害:通过非特权进程获得内核代码执行进而提升权限

漏洞发现者:Andrey Konovalov

影响范围:Linux内核版本>2.6.18(2006年9月)。

但DCCP(数据报拥塞控制协议)最早是在05年10月的Linux内核版本2.6.14中支持的。

目前该漏洞与2017年2月17修复。

漏洞概述

Linux内核近日又曝出权限提升漏洞,该漏洞可追溯至2005年,漏洞影响Linux操作系统主要发行版本,包括Redhat、Debian、OpenSUSE和Ubuntu。

安全研究员Andrey Konovalov最近用Syzkaller fuzzing工具,发现了数据报拥塞控制协议(DCCP)实现中的Linux内核漏洞,漏洞潜伏时间超过10年。

DCCP协议

DCCP协议是面向消息的传输层协议,可最小化数据包报头带来的开销和终端处理的工程量。该协议可建立、维护和拆卸不可靠连接的数据流以及对不可靠数据流进行拥塞控制。

漏洞详情

这个漏洞是一个使用后释放漏洞,具体而言,就是“套接字中设置了IPV6RECVPKTINFO 选项时,Linux内核的DCCP协议实现针对DCCPPKT_REQUEST包释放SKB(套接字缓冲区)资源。”

( “DCCP protocol implementation freed SKB (socket buffer) resources for a DCCPPKTREQUEST packet when the IPV6_RECVPKTINFO option is set on the socket.”)

该DCCP双重释放漏洞可允许本地低权限用户修改Linux内核内存,导致拒绝服务(系统崩溃),或者提升权限,获得系统的管理访问权限。

在当前的DCCP实现中,如果dccpv6connrequest成功返回,就会通过kfreeskb in dccprcvstateprocess针对DCCPPKT_REQUEST包强制释放一个skb。

但是,如果套接字中设置了IPV6RECVPKTINFO,该skb的地址会被保存至ireq->pktopts,这个skb的引用数是在dccpv6connrequest增加,所以这个skb仍在使用中。

不过,这个skb还是会在dccprcvstate_process中被释放。

攻击者使用某些内核堆喷射技术就能控制任意对象,并用任意数据重写其内容。

如果重写过的对象中包含任何可触发的函数指针,攻击者便可在该内核中执行任意代码。

这个漏洞并不是远程代码执行漏洞,所以攻击者必须拥有系统本地账户,才能利用该漏洞。

两个月前,Linux内核也曝出了类似的提权漏洞CVE-2016-8655,该漏洞可以追溯到2011年,低权限本地用户利用Linux内核af_packet实现中的竞争条件,可获得root权限

(漏洞详情:http://www.freebuf.com/vuls/122152.html)。

修复方案

手动修复:调用consumeskb,而非直接goto discard并调用kfreeskb。

更详细的修复方案请点击下方链接:

链接地址:https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=5edabca9d4cff7f1f2b68f0bac55ef99d9798ba4

如果你是高级Linux用户,那么可以应用补丁,重新构建内核,或者等待发行商发布更新。

Linux各发行版本对于该漏洞相关信息

debian:https://security-tracker.debian.org/tracker/CVE-2017-6074

redhat:https://rhn.redhat.com/errata/RHSA-2017-0295.html

ubuntu:http://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-6074.html

suse:https://www.suse.com/security/cve/CVE-2017-6074/

*参考来源:freebuf,安全客,如需转载请标注转载地址。

关注悬镜安全实验室订阅号,安全界信息最新知道。


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值