Русская Википедия:Уязвимость Dirty COW

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Уязвимость Dirty COW (CVE-2016-5195, от Шаблон:Lang-en + Шаблон:Lang-en2 — копирование при записи) — серьёзная программная уязвимость в ядре Linux, существующая с 2007 года и исправленная в октябре 2016 года. С её помощью локальный пользователь может повысить свои привилегии из-за ошибки состязания (гонки) в реализации механизма копирования при записи (COW) для страниц памяти, помеченных флагом Dirty bit (изменённая память).[1][2][3] На октябрь 2016 года сообщается об активной эксплуатации уязвимости при взломах серверов[3].

Технические детали

Проблема возникает при многочисленном одновременном вызове системной функции madvise(MADV_DONTNEED) и записи в страницу памяти, к которой пользователь не имеет доступа на изменение[4]. Эти вызовы осуществляются из разных потоков одновременно.

При попытке записи в read-only COW-страницу памяти ядро автоматически создаёт её копию, после чего записывает данные в новую копию. Исходная страница памяти при этом остаётся нетронутой. Код уязвимого ядра Linux не проверял, завершено ли создание копии и существует ли она всё ещё, прежде чем начать запись по запрашиваемому адресу памяти. Поскольку это две последовательные инструкции, считалось маловероятным, что что-либо может «вклиниться» между ними.

Для использования эксплойта создаются два потока A и B. Системный вызов madvise(MADV_DONTNEED) в потоке A сообщает ядру о том, что программа больше никогда не собирается использовать указанную страницу памяти, поэтому ядро сразу же удаляет все копии этой страницы (но не лишает доступа к ней по прежнему адресу!). Запись в эту же страницу из потока B приводит к необходимости заново создавать её копию. При одновременном выполнении описанных выше инструкций с очень малой вероятностью может произойти ситуация, когда копия страницы удаляется сразу же после её создания, но перед операцией записи. В этот неблагоприятный момент ядро запишет данные в исходную read-only страницу памяти, а не в её копию. При многочисленном повторении запросов из разных потоков происходит гонка и маловероятное событие обязательно произойдёт, в результате чего эксплойт получает право на изменение исходной read-only страницы. Обычно процесс занимает не более нескольких секунд[5].

Необходимым условием для использования уязвимости является доступ на чтение к файлу или участку памяти. Это означает, что локальный пользователь не может напрямую перезаписать системные файлы, которые не доступны для чтения, как например /etc/shadow, что позволило бы сменить пароль суперпользователя. Однако уязвимость позволяет записать произвольный код в любой исполняемый файл, в том числе любой suid-файл. Таким образом, пользователь получает возможность «подменить» системные файлы, запускаемые им от имени root. Например, становится возможным заменить «безобидный» suid-файл ping на системный терминал, который запустится от имени root.

Несмотря на то, что ошибка повышения привилегий реализуется для локальных пользователей, удаленные злоумышленники могут использовать её в сочетании с другими эксплойтами, которые позволяют произвести удаленное выполнение непривилегированного кода. Такое сочетание приведет к полному взлому удаленной системы.[2] Использование уязвимости DirtyCOW само по себе не оставляет следов в системных журналах.[3][1]

История

Уязвимость получила обозначение CVE CVE-2016-5195, предварительно оценивается по шкале CVSS на 6,9-7,8 балла из 10[6]. Ошибка присутствует в ядре с 2007 года (версия 2.6.22)[1] и может быть использована на большом числе дистрибутивов, в том числе на Android[7]. Эта уязвимость стала самой длительно существовавшей критической ошибкой в ядре Linux[8]. Лишь в единичных дистрибутивах (RHEL5/6) эксплуатация одного из стандартных эксплойтов невозможна из-за отключения интерфейса «proc mem»[9]. Линус Торвальдс признался, что уже делал попытки исправления этой гонки в августе 2005 года, однако этот патч был некачественным и почти сразу был отменён из-за проблем на архитектуре S390[10].

Эксплуатацию уязвимости обнаружил исследователь безопасности Phil Oester при анализе взлома одного из администрируемых им серверов. Благодаря записи всего HTTP-трафика на протяжении нескольких лет ему удалось получить эксплойт и проанализировать его работу. Эксплойт был скомпилирован компилятором GCC версии 4.8 (вышел в 2013 году), что может свидетельствовать о том, что уязвимость успешно эксплуатируется уже на протяжении нескольких лет. Закрытое обсуждение и подготовка исправления произошли 13 октября 2016 года[11][12]. 18 октября был внесен патч, исправляющий ошибку; однако при этом Линус не указал, что данное исправление является важным и устраняет уязвимость. Подобное сокрытие важной информации и проблемы в раскрытии уязвимостей лишь усложняют жизнь пользователей и дистрибьюторов, эта практика подверглась критике в LWN[13]. 19-20 октября информация об уязвимости была опубликована RedHat; также был запущен специальный сайт[11], рассказывающий об уязвимости и предлагающий различные эксплойты, twitter-аккаунт и интернет-магазин по продаже футболок и сувениров с логотипом уязвимости.

Исправление уязвимости требует обновления ядра. Уязвимость была исправлена в ядрах версий 4.8, 4.7, 4.4 и других[14], исправление представляет собой добавление нового флага FOLL_COW (изменены 7 строк кода)[10]. Ряд дистрибутивов GNU/Linux, например, Debian, Ubuntu, RedHat и другие, уже объявили о выпуске исправленных пакетов ядра[15]. В то же время существуют многочисленные уязвимые устройства и системы на кристалле, выпуск обновлений для которых закончен производителем и может быть невозможен сторонними лицами из-за проприетарных дополнений и нарушений GPL. Например, уязвимость может использоваться для получения прав суперпользователя практически на всех Android-устройствах[16][17], с версией ОС до Android 6 включительно[18] и с ранними версиями Android 7.

В декабре 2017 был представлен вариант «Huge Dirty COW» (CVE-2017-1000405), связанный с аналогичной ошибкой в обработке больших страниц (2 МБ)[19].

Примечания

Шаблон:Примечания

Ссылки

Шаблон:Хакерские атаки 2010-х

Партнерские ресурсы
Криптовалюты
Магазины
Хостинг
Разное

  1. 1,0 1,1 1,2 Шаблон:Cite news
  2. 2,0 2,1 Шаблон:Cite news
  3. 3,0 3,1 3,2 Шаблон:Cite web
  4. Kernel Local Privilege Escalation — CVE-2016-5195 Шаблон:Wayback / Redhat
  5. Шаблон:Cite news
  6. Шаблон:Cite web
  7. Шаблон:Cite news
  8. Шаблон:Cite web
  9. Bug 1384344 — CVE-2016-5195 kernel: mm: privilege escalation via MAP_PRIVATE COW breakage Шаблон:Wayback / RedHat: «The in the wild exploit ..doesn’t work on Red Hat Enterprise Linux 5 and 6 … proc/self/mem is not writable on Red Hat Enterprise Linux 5 and 6.»
  10. 10,0 10,1 Шаблон:Cite web
  11. 11,0 11,1 Шаблон:Cite news
  12. Шаблон:Cite web
  13. Dirty COW and clean commit messages Шаблон:Wayback / LWN, Jonathan Corbet, October 21, 2016Шаблон:Ref-en
  14. Шаблон:Cite news
  15. Шаблон:Cite web
  16. Шаблон:Cite news
  17. Шаблон:Cite web
  18. Шаблон:Cite web
  19. Шаблон:Cite web (en Шаблон:Wayback)
Источник — http://wikihandbk.com/ruwiki/index.php?title=Русская_Википедия:Уязвимость_Dirty_COW&oldid=11097835