CVE-2021-33909:Linux本地权限提升漏洞 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

CVE-2021-33909:Linux本地权限提升漏洞

ang010ela 漏洞 2021-07-22 11:53:48
295775
收藏

导语:​Linux本地权限提升漏洞影响大多数Linux发行版。

Linux本地权限提升漏洞影响大多数Linux发行版。

漏洞概述

Qualys研究人员在Linux kernel中发现一个本地权限提升漏洞——Sequoia,该漏洞是Linux kernel文件系统层中的size_t-to-int 类型转化漏洞。漏洞CVE编号为CVE-2021-33909,攻击者利用该漏洞可以在大多数Linux发行版上获得root权限。

Linux文件系统

Linux文件系统是存储设备上数据和元数据的组织形式,控制着数据的存储、提取,其最重要的功能是管理用户数据。Linux文件系统接口以分层架构实现,可以将用户接口层与文件系统实现、以及操作存储设备的驱动隔离开来。

技术细节

Linux kernel的 seq_file接口可以生成包含记录序列的虚拟文件。每个记录都必须与一个seq_file缓存相适配,缓存可以根据需要扩大,参见242行代码:

1.png

m->size是 size_t(无符号64位整数),但是size_t也会传递给size参数为int(有符号32位整数)而非size_t的函数。比如,227行调用的show_mountinfo()函数调用了150行的seq_dentry()函数,该函数会调用530行的dentry_path(),该函数会调用387行的prepend():

2.png

因此,如果非特权的本地攻击者创建、挂载或删除了完整路径长度超过1GB的目录结构,同时如果攻击者使用open()和 read()打开和读取/proc/self/mountinfo,那么:

◼在seq_read_iter()中,就会分配一个2GB的缓存(242行),并调用show_mountinfo()(227行);

◼在show_mountinfo()中,seq_dentry()以及2GB的空缓存会被调用(150行);

◼在seq_dentry()中,dentry_path()以及2GB大小会被调用(530行);

◼在dentry_path()中,int buflen是负的(INT_MIN, -2GB),p指向-2GB的偏移量,同时会调用387行的prepend();

◼在prepend()中,*buflen会减少10字节,并成为更大的正的int(13行),*buffer会减少10字节,并指向-2GB-10B的偏移量(16行),10字节的字符串“//deleted”会越界写(17行)。

漏洞影响

攻击者利用该漏洞可以在有漏洞的主机(默认配置情况下)上使非特权用户获得root权限。Qualys安全研究人员还独立验证了该漏洞,开发了漏洞利用,并在以下版本中获得了完全root权限:

◼Ubuntu 20.04;

◼Ubuntu 20.10;

◼Ubuntu 21.04;

◼Debian 11;

◼Fedora 34 。

其他Linux发行版理论上也受到该漏洞的影响。

漏洞PoC视频参见https://vimeo.com/577035507

本文翻译自:https://blog.qualys.com/vulnerabilities-threat-research/2021/07/20/sequoia-a-local-privilege-escalation-vulnerability-in-linuxs-filesystem-layer-cve-2021-33909如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务