产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
漏洞编号
cve-2017-6074
漏洞概述
linux内核近日又曝出权限提升漏洞,该漏洞可追溯至2005年,漏洞影响linux操作系统主要发行版本,包括redhat、debian、opensuse和ubuntu。利用该漏洞,攻击者可以从低权限进程中进行内核代码执行。目前已知受影响的最老版本是2.6.18(2006年9月),不过该漏洞可能在先前的版本中已经存在,或许从支持dccp开始(2005年10月的2.6.14)就已经存在问题了。
在seclists.org发布该漏洞的作者andrey konovalov表示,很快就会放出poc,在此期间给予修复时间。
安全研究员andrey konovalov最近用syzkaller fuzzing工具,发现了dccp协议实现中的linux内核漏洞,漏洞潜伏时间超过10年。
dccp协议
dccp协议是面向消息的传输层协议,可最小化数据包报头带来的开销和终端处理的工程量。该协议可建立、维护和拆卸不可靠连接的数据流以及对不可靠数据流进行拥塞控制。
该dccp双重释放漏洞可允许本地低权限用户修改linux内核内存,导致拒绝服务(系统崩溃),或者提升权限,获得系统的管理访问权限。
漏洞详情
这是个uaf漏洞:在ipv6_recvpktinfo开启的情况下,内核解析dccp协议的流程中判断已经收到了dccp_pkt_request返回包,就会释放解析过程使用的skb地址。(“dccp protocol implementation freed skb (socket buffer) resources for a dccp_pkt_request packet when the ipv6_recvpktinfo option is set on the socket.”)
按现在的实现,解析dccp协议的流程中如果dccp_v6_conn_request有返回值,就会通过dccp_rcv_state_process中的__kfree_skb释放掉解析过程中收到了dccp_pkt_request返回包的skb地址。但是,如果ipv6_recvpktinfo开启的情况下编译内核,skb地址就会被存储在ireq->pktopts,而dccp_v6_conn_request中的引用计数会增加,这样skb就仍然会被使用。直到dccp_rcv_state_process进程中才会被释放。
攻击者使用某些内核堆喷射技术就能控制任意对象,并用任意数据重写其内容。如果重写过的对象中包含任何可触发的函数指针,攻击者便可在该内核中执行任意代码。
这个漏洞并不是远程代码执行漏洞,所以攻击者必须拥有系统本地账户,才能利用该漏洞。
两个月前,linux内核也曝出了类似的提权漏洞cve-2016-8655,该漏洞可以追溯到2011年,低权限本地用户利用linux内核af_packet实现中的竞争条件,可获得root权限(漏洞详情:http://www.freebuf.com/vuls/122152.html)。
修复方案
手动修复:调用consume_skb,而非跳转discard并调用__kfree_skb。
更详细的修复方案请点击这里。如果你是高级linux用户,那么可以应用补丁,重新构建内核,或者等待发行商发布更新。
试用申请
