SOS :: Security Operation Space
16 декабря, суббота, 00:00
Hot News:

В исправлении для защиты от Dirty COW обнаружен дефект

04 декабря 2017 г., понедельник, 21:13

Выпущенный в октябре 2016 года патч для Linux оказался неполным и получил обновление 27 ноября.

Дефект в оригинальной заплатке для уязвимости Dirty COW позволял злоумышленнику с локальной учетной записью запустить код, провоцирующий состояние гонки, и повысить привилегии до root.

Исследователи из компании Bindecy, занимающейся вопросами безопасности, обнаружили дефект в исправлении для уязвимости Dirty COW (CVE-2016-5195). В среду они опубликовали подробное описание уязвимости CVE-2017-1000405, обнаруженной в оригинальном патче для Dirty COW и затрагивающей несколько дистрибутивов Linux.

Спектр пострадавших продуктов значительно уже, чем был у исходной уязвимости Dirty COW, которая затронула также другие дистрибутивы Linux и операционную систему Android.

«В плане охвата единственное отличие состоит в том, что найденная проблема не затрагивает Android и Red Hat Enterprise Linux. Для всех остальных дистрибутивов — Ubuntu, Fedora, SUSE — она актуальна. Таким образом, спектр поражения все еще велик. По нашей оценке, уязвимыми остаются миллионы компьютеров», — заявил Даниэль Шапиро (Daniel Shapiro), аналитик Bindecy, который и обнаружил изъян вместе с коллегой Эйлоном Бен Иаковом (Eylon Ben Yaakov).

Уязвимость CVE-2017-1000405 была названа «существенной» и получила оценку 6,1 балла по шкале CVSS.

Компания Red Hat Software уведомила клиентов о несовершенстве патча в четверг и указала, что проблема не затрагивает пакеты ядра Linux, поставляемые с выпусками Red Hat Enterprise Linux 5, 6, 7 и Red Hat Enterprise MRG 2, — об этом сообщается на портале Red Hat для клиентов.

Патч для уязвимости Dirty COW был выпущен в октябре 2016 года после того, как она была обнаружена в результате публичных эксплойтов. Уязвимость функции копирования при записи (copy-on-write, COW) в Linux могли использовать имеющие локальный доступ злоумышленники, чтобы получить неограниченные привилегии на устройстве с Linux или Android.

Этот дефект, который впервые появился в 2007 году в версии ядра 2.6.22, позволяет преступнику использовать состояние гонки, чтобы получить право записи в память, предназначенную только для чтения.

В результате эксплойта пользователь с учетной записью локальной системы получает возможность изменять двоичные файлы на диске в обход стандартных механизмов разрешений, которые в нормальных условиях не позволили бы вносить такие изменения.

Функция COW управляет ресурсами памяти и разрешает различным процессам использовать одну и ту же страницу до тех пор, пока пользователь не выполнит в ней запись, — на языке программистов «отметит страницу как «грязную». Уязвимость позволяет злоумышленнику спровоцировать состояние гонки, чтобы выполнить запись до того, как страница будет отмечена как «грязная».

Шапиро утверждает, что исправление, выпущенное в октябре 2016 года, устранило уязвимость Dirty COW как для обычных страниц, так и для прозрачно выделенных больших страниц (эта возможность поддерживается ядром Linux, начиная с версии 2.6.38).

Как пояснил исследователь, «имеет место неучтенный поток в коде, который ломает логику исправления для прозрачно выделенных больших страниц».

«В случае с исходной уязвимостью эксплойт был нацелен на страницы нередактируемых файлов, а новая ошибка позволила нам выполнить запись в особую большую страницу, доступную только для чтения, — так называемую «нулевую страницу», — продолжает Шапиро. — Предполагается, что она инициирована нулями, и некоторые программы опираются на такое предположение (в том числе привилегированные процессы)».

Более подробное описание дефекта приведено в технической статье Иакова здесь.

Согласно графику распространения информации, исследователи сообщили об уязвимости организации Linux Kernel Organization 22 ноября. В тот же день ей был присвоен идентификатор CVE, а исправление для основного ядра появилось 27 ноября. Официальное сообщение об уязвимости было опубликовано в пятницу.

В качестве временной защиты необходимо немедленно отключить использование «нулевой страницы».

«Можно отключить маппинг нулевой страницы в качестве страницы большого размера, изменив настройки в папке /sys. Это предотвратит использование данной уязвимости следующим способом: # echo 0 > /sys/kernel/mm/transparent_hugepage/use_zero_page. Можно также отключить использование больших страниц», — сказано в описании мер по устранению риска.

«Наибольшее впечатление в этой истории производит тот поразительный факт, что столь нашумевшая уязвимость была устранена не полностью», — отметил Шапиро.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
21:03
19:29
17:19
15:18
20:14
19:45
18:53
17:57
08:19
20:25
18:57
16:54
15:33
15:29
04:18
19:33
19:17
18:58


© 2013—2017 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.018
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.