dirty pipe漏洞,解决办法

最新推荐文章于 2024-08-15 09:33:16 发布
最新推荐文章于 2024-08-15 09:33:16 发布
阅读量396 收藏 1
点赞数
分类专栏: java 后端 文章标签: linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393593/article/details/123481694
版权
java 同时被 2 个专栏收录
271 篇文章 9 订阅
订阅专栏
后端
13 篇文章 1 订阅
订阅专栏

2022 年 3 月 7 日,Max Kellermann公开披露了 Linux 内核中的一个漏洞,后来被命名为 Dirty Pipe,该漏洞允许低权限进程写入任意可读文件,从而导致权限提升。此漏洞影响从 5.8 开始的内核版本。在发现之后,它已针对所有当前维护的 Linux 版本 5.16.11、5.15.25 和 5.10.102 进行了修复。

虽然更容易利用,但它类似于 2016 年披露的旧漏洞Dirty COW,自那时以来一直被恶意行为者积极利用。

Dirty Pipe 漏洞很容易被利用并影响广泛的系统,包括一些基于 Linux 内核的 Android OS 版本。应用内核补丁通常比标准软件更新更具挑战性。在基于 Android 的系统中尤其如此。因此,我们相信大量系统在未来仍将易受攻击。

Datadog 还能够证明 Dirty Pipe 可用于突破非特权容器。一旦社区有足够的时间修复此漏洞,我们将发布容器突破的完整技术细节。

检查您的系统是否易受攻击

此漏洞仅影响基于 Linux 的系统。检查您的系统是否易受攻击的最简单方法是通过运行命令查看它使用的 Linux 内核版本uname -r。

如果系统的内核版本高于 5.8,但低于 5.16.11、5.15.25 或 5.10.102,则该系统可能容易受到攻击。例如:

内核版本 5.7.11 不易受到攻击,因为它早于 5.8
内核版本 5.10.96 易受攻击,因为它比 5.8 更新且比 5.10.102 更早
内核版本 5.16.10 易受攻击,因为它比 5.8 更新并且比 5.16.11 更早
内核版本 5.16.11 包含一个补丁,因此不易受到攻击
有关如何检查系统是否易受攻击的更准确说明,您可以参考特定于您的 Linux 发行版的建议,我们将在下一节中介绍。

修复影响的系统

要修复此漏洞,请确保您的 Linux 系统正在运行 5.16.11、5.15.25、5.10.102 或更高版本的内核版本。

主要的 Linux 发行版已经发布了专门的安全公告来帮助缓解漏洞,包括:

红帽
Ubuntu
Debian
虽然情况仍在发展中,但截至撰写本文时,Azure 和 GCP 尚未发布公告。AWS为其 Amazon Linux 操作系统发布了ALAS-2022-1571和ALAS2KERNEL-5.4-2022-023 。

Dirty Pipe原理

此漏洞存在于 Linux 内核页面缓存的内部工作原理中,它处理需要将哪些内存位(“页面”)持久化到磁盘,以及哪些页面只能保留在内存中。当被利用时,Dirty Pipe 漏洞允许低权限用户将任意数据写入用户可以在文件系统上读取的任何文件。

有多种方法可以利用此漏洞进行权限提升。其中之一是写信给/etc/passwd文件,其中包含用户列表及其权限。例如,将以下行附加到/etc/passwd创建一个新用户“malicious-attacker”,密码为“datadog”,权限与 root 相同:
在这里插入图片描述
Dirty Pipe 漏洞也可用于逃离低权限的 Linux 容器。我们能够从运行概念证明漏洞的容器中覆盖RunC二进制文件。

RunC 是 Docker 和 Kubernetes 以及其他容器技术使用的许多容器运行时的一部分。它的作用是在 Linux 上生成、运行和配置容器。对 RunC 的特制攻击允许恶意行为者破坏主机的操作系统,从而导致主机全面入侵。

我们将在即将发布的博客文章中发布 PoC 的完整详细信息,以便让社区有时间将其基础架构更新到最新的 Linux 内核补丁,以防止这种攻击。

Datadog 云工作负载安全团队正在努力为 Datadog 代理添加功能,以便可靠地检测对 Dirty Pipe 的利用。具体来说,我们已经添加到代理使用 eBPF 实时监控的系统调用splice列表中。此功能预计将作为 Datadog 代理 7.35 版的一部分发布。Cloud Workload Security 的客户将收到通知,将其代理更新到可以检测到脏管道漏洞利用的版本。

通过启用 Datadog 监视splice系统调用,我们能够创建以下检测规则来识别 Dirty Pipe 利用的实例:

(splice.pipe_exit_flag & PIPE_BUF_FLAG_CAN_MERGE) > 0
 && (splice.file.rights & S_IWOTH) == 0

此规则识别splice系统调用何时对不可全局写入的文件执行,并包含PIPE_BUF_FLAG_CAN_MERGE触发漏洞的标志。
在这里插入图片描述
制定更具体的规则来识别几种常见的利用案例:
当可执行文件被覆盖时

(splice.pipe_exit_flag & PIPE_BUF_FLAG_CAN_MERGE) > 0
&& (splice.file.mode & S_IXGRP > 0 || splice.file.mode & S_IXOTH > 0 || splice.file.mode & S_IXUSR > 0)

当关键系统路径中的文件被覆盖时

(splice.pipe_exit_flag & PIPE_BUF_FLAG_CAN_MERGE) > 0
&& (splice.file.path in [ ~"/bin/*", ~"/sbin/*", ~"/usr/bin/*", ~"/usr/sbin/*", ~"/usr/local/bin/*", ~"/usr/local/sbin/*", ~"/boot/**" ])

当 SUID/SGID 二进制文件被覆盖时

(splice.pipe_exit_flag & PIPE_BUF_FLAG_CAN_MERGE) > 0
&& (splice.file.mode & S_ISGID > 0 || splice.file.mode & S_ISUID > 0)

当 root 用户拥有的文件被覆盖时

(splice.pipe_exit_flag & PIPE_BUF_FLAG_CAN_MERGE) > 0
&& (splice.file.uid == 0 || splice.file.gid == 0)
m0_67393593
关注
专栏目录
Linux DirtyPipe权限提升漏洞(CVE-2022-0847)
谢公子的博客
09-19 3633
3月7日,国外的安全研究员马克斯·凯勒曼发布博客,披露了一处存在于Linux 内核中的本地提权漏洞CVE-2022-0847。CVE-2022-0847是存在于Linux内核5.8及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权root。CVE-2022-0847 的漏洞原理类似于CVE-2016-5195脏牛漏洞Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe”。
Dirty Pipe脏管道提权漏洞复现(CVE-2022-0847)
小千安全
05-06 887
攻击者通过 CVE-2022-0847 可覆盖重写任意可读文件中的数据,可将普通权限的用户提升到特权 root这个漏洞作者将其命名为了 Dirty Pipe(脏管道),一看到这名字讲道理就让人想到了 Dirty Cow(脏牛),这是因为该漏洞的原理比较类似于 Dirty Cow,但这个漏洞更容易被利用。
DirtyPipe(CVE-2022-0847) 脏管漏洞复现分析
Zyecho的博客
07-20 4387
本实验详细记录了DirtyPipe(CVE-2022-0847) 脏管漏洞的分析和复现
推荐开源项目:脏管道(Dirty Pipe)利用工具改进版
最新发布
gitblog_00339的博客
08-15 513
推荐开源项目:脏管道(Dirty Pipe)利用工具改进版 CVE-2022-0847-DirtyPipe-ExploitA root exploit for CVE-2022-0847 (Dirty Pipe)项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2022-0847-DirtyPipe-Exploit 项目介绍 在安全研究的广阔天地中,有这样一...
DirtyPipe(CVE-2022-0847)漏洞分析
蚁景网安学院
12-29 647
CVE-2022-0847 DirtyPipe脏管道漏洞Linux内核中的一个漏洞,该漏洞允许写只读文件,从而导致提权。
Linux脏管道 (Dirty Pipe)(CVE-2022-0847) 漏洞复现
orange777
03-08 428
漏洞描述 CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权 root。 CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe”。 影响范围 5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102 复现过程 环境信息
大白话图解 Linux 脏管道(Dirty Pipe) 漏洞(CVE-2022-0847)
omgFuture的博客
03-08 9786
大白话图解 Linux 脏管道(Dirty Pipe) 漏洞(CVE-2022-0847) 漏洞披露链接:https://dirtypipe.cm4all.com/ 背景 ​ 今天(2022年3月8日),开源社区爆出了Linux内核新的一级安全漏洞, Dirty Pipe Vulnerability. 漏洞点于Linux内核5.8版本引入,可以’通杀’后续多个版本内核,以及所有使用了相关Linux内核的下游厂商产品。当然,有必要说明的是,这里的通杀不是针对任意系统的远程命令执行,而是面向内
Dirty Pipe 漏洞(CVE-2022-0847)复现
safehao的博客
03-10 2264
Dirty Pipe 漏洞(CVE-2022-0847)复现 2022年3月7日Max Kellermann max.kellermann@ionos.com发布关于[The Dirty Pipe Vulnerablity](The Dirty Pipe Vulnerability — The Dirty Pipe Vulnerability documentation (cm4all.com))的文章。描述了关于该漏洞的发现过程以及POC。Dirty Pipe漏洞类似于Dirty Cow漏洞,该漏洞允许改
通过利用Dirty Pipe漏洞,可覆盖重写任意____文件中的数据,从而可将普通权限的用户提升到特权 root
07-17
通过利用 Dirty Pipe 漏洞,可以覆盖重写任意系统文件中的数据,从而可能将普通权限的用户提升为特权用户(如 root 用户)。 Dirty Pipe 漏洞是一种本地提权漏洞,利用了 Linux 内核中的脏写时复制(Copy-On-Write)...
CVE-2022-0847(Dirty Pipe)Linux内核提权漏洞预警与修复方案
ichunqiu2018的博客
03-09 2122
【高危漏洞预警】Dirty Pipe漏洞影响Linux内核5.8及以后版本,且漏洞利用简单。本篇由伽玛实验室对该漏洞进行的分析和研究,并给出具体的修复方案。提醒各位师傅及早修复!
Dirty Pipe linux内核提权漏洞分析(CVE-2022-0847)
weixin_51804748的博客
04-01 4856
漏洞原理 Pipe机制 本质上来说,管道(pipe)就是一种进程间通信的手段,让两个进程可以通过pipe 发送和接收数据。 Page Cache机制 磁盘的IO读写速度是很慢的,所以一般当我们访问一个磁盘文件的时候,首先会将其内容装载到物理内存中,后续的访问都是直接取内存中的副本来读取数据。因为一个文件的内存副本,后续可能会被很多进程打开使用。(想想是不是,平常我们的微信软件可能打开本地的一个文本,word软件也可能打开同一个文本)。为了保证大家都能快速的访问,Linux设计了这样一个Page Cache
DirtyPipe(脏管道)提权
weixin_45794666的博客
03-08 6869
DirtyPipe提权 CVE-2022-0847 漏洞详情 新管道缓冲区结构的“flags”成员在 Linux 内核中的 copy_page_to_iter_pipe 和 push_pipe 函数中缺乏正确初始化的方式存在缺陷,因此可能包含陈旧的值。非特权本地用户可通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权 root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Di
DirtyPipe 利用(CVE-2022-0847)
内核工匠
10-21 4199
事件背景3月初,国外安全研究人员披露了一个新的Android/Linux内核的高危漏洞漏洞编号为CVE-2022-0847。由于类似大名鼎鼎的DirtyCOW(脏牛)漏洞,又被命名为DirtyPipe(脏管道)。漏洞从上游linux内核5.8版本的一个补丁引入,影响所有使用linux内核的操作系统,在最新的手机系统Android12+kernel5.10上也有巨大安全危害。经过我们内部研究发现,...
Linux内核提权漏洞(Dirty-pipe)复现_linux提权漏洞
xnxqwzy的博客
10-08 457
CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权 root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe”。
Dirty-Pipe Linux内核提权漏洞复现(CVE-2022-0847)
IerkeU的博客
03-09 5264
漏洞描述 CVE-2022-0847-DirtyPipe-Exploit 存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件(甚至是只读文件)中的数据,从而可将普通权限的用户提升到root权限。 CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞Dirty Cow),但它更容易被利用,漏洞作者将此漏洞命名为Dirty Pipe。 影响版本 影响范围:5.8 <= Linux 内核版本 < 5.16.11 /
【墨菲安全实验室】“Dirty Pipe”的故事-Linux 内核提权漏洞 (CVE-2022-0847)
murphysec的博客
03-09 4858
漏洞简述 3月7日,开发者 Max Kellermann 在他的博客(https://dirtypipe.cm4all.com/)中披露了一个能导致 Linux 权限提升的漏洞,编号为 CVE-2022-0847,他称之为 “The Dirty Pipe Vulnerability” (“脏管道”漏洞)。 Linux 5.10版本前的一次 commit 中,重构了匿名管道缓冲区的代码,修改了“可合并”检查的逻辑,这个修改造成了通过匿名管道覆盖任意只读文件的漏洞,攻击者可以利用该漏洞进行本地权限提升。
容器逃逸漏洞分析 DirtyPipe脏管 CVE-2022-0847
weixin_31610083的博客
01-02 1267
本文详细分析了一个基于内核漏洞的经典容器逃逸漏洞(CVE-2022-0847),也就是著名的“脏管”漏洞,从理论分析漏洞利用路径到用strace采集具体的执行步骤,对该漏洞每一步的原理和行为进行剖析。
Dirty PipeLinux 内核本地提权漏洞
Adminxe的博客
03-08 6329
一、漏洞简介 CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权 root。 CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe”。 二、影响范围 5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值