2017linux漏洞统计,CVE-2017-1000367 in Sudo's get_process_ttyname() for Linux

最新推荐文章于 2022-08-15 17:55:53 发布
最新推荐文章于 2022-08-15 17:55:53 发布
阅读量159 收藏
点赞数
文章标签: 2017linux漏洞统计

========================================================================

Contents

========================================================================

Analysis

Exploitation

Example

Acknowledgments

========================================================================

Analysis

========================================================================

We discovered a vulnerability in Sudo's get_process_ttyname() for Linux:

this function opens "/proc/[pid]/stat" (man proc) and reads the device

number of the tty from field 7 (tty_nr). Unfortunately, these fields are

space-separated and field 2 (comm, the filename of the command) can

contain spaces (CVE-2017-1000367).

For example, if we execute Sudo through the symlink "./ 1 ",

get_process_ttyname() calls sudo_ttyname_dev() to search for the

non-existent tty device number "1" in the built-in search_devs[].

Next, sudo_ttyname_dev() calls the function sudo_ttyname_scan() to

search for this non-existent tty device number "1" in a breadth-first

traversal of "/dev".

Last, we exploit this function during its traversal of the

world-writable "/dev/shm": through this vulnerability, a local user can

pretend that his tty is any character device on the filesystem, and

after two race conditions, he can pretend that his tty is any file on

the filesystem.

On an SELinux-enabled system, if a user is Sudoer for a command that

does not grant him full root privileges, he can overwrite any file on

the filesystem (including root-owned files) with his command's output,

because relabel_tty() (in src/selinux.c) calls open(O_RDWR|O_NONBLOCK)

on his tty and dup2()s it to the command's stdin, stdout, and stderr.

This allows any Sudoer user to obtain full root privileges.

========================================================================

Exploitation

========================================================================

To exploit this vulnerability, we:

- create a directory "/dev/shm/_tmp" (to work around

/proc/sys/fs/protected_symlinks), and a symlink "/dev/shm/_tmp/_tty"

to a non-existent pty "/dev/pts/57", whose device number is 34873;

- run Sudo through a symlink "/dev/shm/_tmp/ 34873 " that spoofs the

device number of this non-existent pty;

- set the flag CD_RBAC_ENABLED through the command-line option "-r role"

(where "role" can be our current role, for example "unconfined_r");

- monitor our directory "/dev/shm/_tmp" (for an IN_OPEN inotify event)

and wait until Sudo opendir()s it (because sudo_ttyname_dev() cannot

find our non-existent pty in "/dev/pts/");

- SIGSTOP Sudo, call openpty() until it creates our non-existent pty,

and SIGCONT Sudo;

- monitor our directory "/dev/shm/_tmp" (for an IN_CLOSE_NOWRITE inotify

event) and wait until Sudo closedir()s it;

- SIGSTOP Sudo, replace the symlink "/dev/shm/_tmp/_tty" to our

now-existent pty with a symlink to the file that we want to overwrite

(for example "/etc/passwd"), and SIGCONT Sudo;

- control the output of the command executed by Sudo (the output that

overwrites "/etc/passwd"):

. either through a command-specific method;

. or through a general method such as "--\nHELLO\nWORLD\n" (by

default, getopt() prints an error message to stderr if it does not

recognize an option character).

To reliably win the two SIGSTOP races, we preempt the Sudo process: we

setpriority() it to the lowest priority, sched_setscheduler() it to

SCHED_IDLE, and sched_setaffinity() it to the same CPU as our exploit.

========================================================================

Example

========================================================================

We will publish our Sudoer-to-root exploit

(Linux_sudo_CVE-2017-1000367.c) in the near future:

[john@...alhost ~]$ head -n 8 /etc/passwd

```

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

```

`

[john@...alhost ~]$ sudo -l

```

[sudo] password for john:

...

User john may run the following commands on localhost:

(ALL) /usr/bin/sum

```

[john@...alhost ~]$ ./Linux_sudo_CVE-2017-1000367 /usr/bin/sum $'--\nHELLO\nWORLD\n'

`[sudo] password for john:`

[john@...alhost ~]$ head -n 8 /etc/passwd

```

/usr/bin/sum: unrecognized option '--

HELLO

WORLD

'

Try '/usr/bin/sum --help' for more information.

ogin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

```

========================================================================

Acknowledgments

========================================================================

We thank Todd C. Miller for his great work and quick response, and the

members of the distros list for their help with the disclosure of this

vulnerability.

loading-bars.svg

无言法师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 列目录漏洞,Linux sudo漏洞CVE-2017-1000367复现和利用思路分析
weixin_35618196的博客
05-05 832
* 本文作者:李丽,本文属FreeBuf原创奖励计划,未经许可禁止转载漏洞背景在今年5.30日linux sudo被爆出存在安全漏洞sudo版本是1.8.20以及之前的版本都有可能会受到漏洞的影响,在开启selinux的情况和普通用户在sudoer者中,可以使普通用户造成覆盖任意文件,造成权限的提升。漏洞分析出现漏洞主要在sudo中的/src/ttyname.c中的char *get_procc...
CVE-2017-1000367:Sudo本地提权漏洞
chunli9900的博客
06-02 973
原文链接 2017年5月30日,国外安全研究人员发现Linux环节下,可以通过sudo实现本地提权漏洞漏洞编号为CVE-2017-1000367,该漏洞几乎影响了所有Linux系统。 具体详情如下: ...
漏洞公告】CVE-2017-1000367:Sudo本地提权漏洞
bystarlight的博客
06-02 6065
原文链接 2017年5月30日,国外安全研究人员发现Linux环节下,可以通过sudo实现本地提权漏洞漏洞编号为CVE-2017-1000367,该漏洞几乎影响了所有Linux系统。  具体详情如下:                                                                                 漏洞编号:   CVE
CVE_2017_1000367 LINUX SUDO提权漏洞须知的命令
qq_31932681的博客
05-19 336
1.创建一个测试用户 adduser test 2.为新用户创建初始化密码 passwd test New passwd: #输入密码 Retype new passwd: #再次输入密码 3.添加赋予读写权限 chmod -v u+w /etc/sudoers sudo vim /etc/sudoers 4.收回权限 chmod -v u-w /etc/sudoers 5.新建连接,使用新创建的用户登录,并进行验证 pwd ls -l /etc/sudoers 6.查看系统版本 cat /etc/redh
linux 漏洞数量,Debian Linux被列为过去20年漏洞数量最多的操作系统
weixin_36247564的博客
05-15 330
1999 至 2019 年间,研究人员共发现了 Debian Linux 中的 3067 个安全漏洞。至于 Windows 平台,Server 2008 以 1421 个安全漏洞位列第一。Android 和 Linux 内核分别以 2563 和 2357 个漏洞排名第二和第三,macOS 以 2212 个漏洞排名第四。然而就 2019 年而言,Android 以 414 个漏洞位列第一。其次是 D...
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
【Node.js CVE-2017-14849 漏洞分析】 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,它提供了高效的事件驱动、非阻塞 I/O 模型,使得开发高性能的网络应用变得简单。Express,则是建立在 Node.js 平台...
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1
03-15
Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux ...
hikvision_CVE-2017-7921配置文件解密.rar
05-20
具体影响产品型号,请参考CVE-...CVE-2017-7922漏洞详情。 该程序发布,意在警醒相关单位及时更新相关设备,网络安全需要大家共同监督。 本程序需和配置文件存放在同一目录下运行exe即可配置文件名configurationFile
CVE-2017-16995脚本
03-20
Ubuntu本地内核提权,用于大家一起学习,更好的维护好系统
被利用达数百万次、瞄准 Linux 系统的 Top 15漏洞
smellycat000的专栏
08-24 590
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士趋势科技公司发布 Linux 威胁全景报告指出,近1400万台基于 Linux 的系统直接暴露在互联网上,使其成为真实世界攻击者的目标,...
Linux漏洞分析入门笔记-Off-By-One(栈)
weixin_30362801的博客
01-09 205
ubuntu-16.04.5(X86) IDA7.0 0x00.漏洞描述 1.什么是off by one?又称1字节溢出。 源字符串长度等于目标缓冲区长度时,将源字符串复制到目标缓冲区可能会导致off by one。 当源字符串长度等于目标缓冲区长度时,NULL字节将被复制到目标缓冲区上方。这里由于目标缓冲区位于堆栈中,所以单个NULL字节可以覆盖存储在堆栈中的调用者的EBP的最低位(1...
Linux漏洞比Windows,Windows10漏洞数量惊人少,比Mac OS,Linux和Andriod少
weixin_26824207的博客
05-09 574
在我的个人印象中,Windows的漏洞有比较多的,如果进行排名的话,Windows 10的漏洞肯定要比macOS、Linux多,事实是这样吗?美国国家标准暨技术研究院的国家漏洞数据库显示,Windows 10的技术漏洞比iOS还少。注意这里只是指windows 10,并非windows系统。数据统计了1999年至2019年的数据,显示技术漏洞最多的是Debian Linux,多达3067个,第二名...
[漏洞] CVE-2017-1000364/CVE-2017-1000365/CVE-2017-1000366
唐僧没有肉的博客
08-03 2914
CVE-2017-1000365 CVE-2017-1000365为次级漏洞,主要漏洞CVE-2017-1000364(针对于内核)和 CVE-2017-1000366(针对于 glibc)。   # 我生产环境都是rhel6 # 升级前测试: # kernel升级:   [root@standbysrc]# rpm -Uvh dracut-* ke
linux提权漏洞大全,Linux平台提权漏洞集合
weixin_31943449的博客
05-15 557
CVE-2017-1000367  [Sudo](Sudo 1.8.6p7 - 1.8.20)CVE-2017-1000112  [a memory corruption due to UFO to non-UFO path switch]CVE-2017-16939  [UAF in Netlink socket subsystem – XFRM] (Linux kernel before 4....
sudo漏洞
Arvin627的博客
08-15 2182
Sudo本地权限提升漏洞(CVE-2017-1000367) Sudo权限绕过漏洞(CVE-2019-14287)
intel漏洞 CVE-2017-5715、CVE-CVE-2017-5753、CVE-2017-5754 受影响的英特尔®平台
mao_silence的博客
01-13 2903
受影响的英特尔®平台 以下基于英特尔®的平台受此问题影响。英特尔可能会在稍后修改此列表。 英特尔®酷睿™i3处理器(45纳米和32纳米) 英特尔®酷睿™i5处理器(45纳米和32纳米) 英特尔®酷睿™i7处理器(45纳米和32纳米) 英特尔®酷睿™m系列处理器(45纳米和32纳米) 第二代英特尔®酷睿™处理器 第三代英特尔®酷睿™处理器 第四代英特尔®酷睿™处理器 第五代英特尔
linux漏洞编号cve-2024-1086
最新发布
06-15
CVE-2024-1086是一个尚未公开的、假设性的漏洞编号,因为2024年尚未到来,所以目前还没有官方发布的CVE-2024-1086。CVE(Common Vulnerabilities and Exposures)是用于统一标识公开的安全漏洞的标准命名系统,由美国CERT Coordination Center(CERT/CC)维护。 通常情况下,当一个新的漏洞被发现并上报给CVE项目,它会在相应的年份的CVE列表中获得一个唯一的编号。在实际发生之前,具体的漏洞细节(如影响范围、攻击向量、修复建议等)都是保密的,直到安全公告发布或厂商发布安全更新。 如果你对某个已知的CVE感兴趣,比如CVE-2022-xxxx这样的,我可以帮你查找相关的详细信息。不过,由于我无法提供未来尚未公布的漏洞信息,请告诉我你想了解哪个已知的CVE,我会尽我所能为你提供相关信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值