Повод обновить ядро CVE-2023-32233

0

2

Пишут, что в Netfilter есть уязвимость, позволяющаяя повысить привилегии локальному пользователю. Эксплуатируется через модуль nf_tables.

Рабочий root shell исследователь покажет 15 мая.

Следите за новостями обновлений своих дистрибутивов в связи с CVE-2023-32233.

https://www.openwall.com/lists/oss-security/2023/05/08/4

Update. Описание техники эксплуатации https://www.openwall.com/lists/oss-security/2023/05/15/5

Ссылка

←	CloudFlare - не пускает на сайт. Но только в одном контейнере

С праздником!

→

Наконец-то. А то забыл пароль от рута.

ox55ff ★★★★★
(09.05.23 12:18:42 MSK)

Ответ на: комментарий от ox55ff 09.05.23 12:18:42 MSK

Неделю терпеть.

vvn_black ★★★★★
(09.05.23 12:19:35 MSK) автор топика

use-after-free

alex1101 ☆
(09.05.23 12:32:16 MSK)

Ответ на: комментарий от alex1101 09.05.23 12:32:16 MSK

ox55ff ★★★★★
(09.05.23 12:43:00 MSK)

Ссылка

Ответ на: комментарий от alex1101 09.05.23 12:32:16 MSK

Сейчас уже более актуально составлять список уязвимостей последних лет, которые не относятся к use-after-free или к спекулятивному выполнению — потому что это два самых популярных сейчас типа.

Vsevolod-linuxoid ★★★★★
(09.05.23 12:48:18 MSK)

Ссылка

Очень странно, каким боком nftables доступен не-руту вообще? Там пишут что уязвимость именно в запросах на его настройку.

firkax ★★★★★
(09.05.23 13:23:30 MSK)

Эксплуатируется через модуль nf_tables.

А я говорил, что пока рано ipchains закапывать... но нет же, закопали...

anc ★★★★★
(09.05.23 13:30:38 MSK)

Ссылка

Ответ на: комментарий от firkax 09.05.23 13:23:30 MSK

opennet:

Для проведения атаки требуется наличие доступа к nftables, который можно получить в отдельном сетевом пространстве имён (network namespaces) при наличии прав CLONE_NEWUSER, CLONE_NEWNS или CLONE_NEWNET (например, при возможности запуска изолированного контейнера).

vvn_black ★★★★★
(09.05.23 13:31:17 MSK) автор топика

Ответ на: комментарий от vvn_black 09.05.23 13:31:17 MSK

Учитывая что создавать неймспейсы без рута тоже не получится, получается что дыра не в ядре вообще, а только в ненадёжной изоляции контейнеризованного рута от хоста. Значит пофиг. А докероюзеры пусть страдают, им не впервой.

Из нормального наверно LXC задето.

firkax ★★★★★
(09.05.23 13:43:33 MSK)

Пофиг, возможностей повысить привилегии локальному пользователю на локалхостной помойке миллион.

snizovtsev ★★★★★
(09.05.23 14:58:26 MSK)

Ответ на: комментарий от firkax 09.05.23 13:43:33 MSK

Учитывая что создавать неймспейсы без рута тоже не получится

Получится, с user namespaces. И это замечательно.

Дыры, конечно, не замечательно, но это издержки.

Siborgium ★★★★★
(09.05.23 15:35:54 MSK)

Ссылка

Ответ на: комментарий от vvn_black 09.05.23 12:19:35 MSK

~ $ lsmod | grep nf_ | wc -l
0

ratvier ★★
(09.05.23 17:16:05 MSK)

Ответ на: комментарий от ratvier 09.05.23 17:16:05 MSK

grep NF_T -i .config

CONFIG_NF_TABLES=y
...

vvn_black ★★★★★
(09.05.23 18:09:47 MSK) автор топика

Ответ на: комментарий от vvn_black 09.05.23 18:09:47 MSK

$ zgrep -i nf_tables /proc/config.gz

# CONFIG_NF_TABLES is not set

cyberhoffman ★
(09.05.23 23:47:10 MSK)

Ссылка

Ответ на: комментарий от snizovtsev 09.05.23 14:58:26 MSK

Вы пробовали?

anc ★★★★★
(10.05.23 02:08:51 MSK)

Ответ на: комментарий от anc 10.05.23 02:08:51 MSK

CVE-2011-0725 – моя ачивка. Я тогда ещё студентом был. Это не говоря про банальный docker и проброс / в рутовый контейнер под юзером как volume.

snizovtsev ★★★★★
(10.05.23 02:16:00 MSK)
Последнее исправление: snizovtsev 10.05.23 02:18:34 MSK (всего исправлений: 2)

Ответ на: комментарий от snizovtsev 10.05.23 02:16:00 MSK

CVE-2011-0725 – моя ачивка.

Повезло, реально повезло, у меня был случай когда это понадобилось и ничего рабочего не нашлось :( Понадобилось по делу, очень удаленный сервак и пролюбленый пароль рута. Напрягать местных было не айс, поэтому просто забил на это дело отложив на «до следующего приезда», пользовательской учетки было вполне достаточно.

anc ★★★★★
(10.05.23 03:04:17 MSK)

Ответ на: комментарий от anc 10.05.23 03:04:17 MSK

Берёшь любой не слишком популярный кусок кода (на выбор нужно потратить несколько дней), фаззишь или вдумчиво вычитываешь его от 2 дней до недели – и обязательно что-нибудь да найдётся. Чем больше код выглядит как говнокод, тем лучше. Серверные компоненты более-менее в надлежайшем состоянии, а вот за безопасностью десктопных не особо кто следит и они куда более запутаны. В каком-нибудь DRM и интеловских драйверах графики наверняка полно мест, которые можно использовать.

snizovtsev ★★★★★
(10.05.23 03:08:54 MSK)
Последнее исправление: snizovtsev 10.05.23 03:13:17 MSK (всего исправлений: 4)

Ответ на: комментарий от snizovtsev 10.05.23 03:08:54 MSK

от 2 дней до недели – и обязательно что-нибудь да найдётся.

Дядя, да вы просто монстр, почему благодаря вам ещё не опубликованы тысячи CVE-20NN-NNNN ? Ведь это так просто, всего неделю потратить.

anc ★★★★★
(10.05.23 03:13:46 MSK)

Ответ на: комментарий от anc 10.05.23 03:13:46 MSK

Это примерно как спорт. В теории все могут тренироваться каждую неделю и лидировать на марафонах. На практике это делают единицы. Вот и с мозгами также – пару раз я нашёл волю для гиперфокуса и получил такие 2 ачивки за много лет. А в остальное время занимался другими делами, рутиной и отупением в ютупчике.

snizovtsev ★★★★★
(10.05.23 03:23:13 MSK)
Последнее исправление: snizovtsev 10.05.23 03:23:41 MSK (всего исправлений: 1)

Ссылка

И описание деталей уязвимости действительно опубликовали - https://www.openwall.com/lists/oss-security/2023/05/15/5

vvn_black ★★★★★
(17.05.23 14:40:15 MSK) автор топика

Ссылка

Попробовал собрать эксплоит, но нет:

sample01.c: В функции «pwn_create_dynset_set»:
sample01.c:599:60: ошибка: «NFT_SET_EXPR» не описан (первое использование в этой функции); имелось в виду «NFTA_SET_EXPR»?
  599 |     nftnl_set_set_u32(set, NFTNL_SET_FLAGS, NFT_SET_EVAL | NFT_SET_EXPR);
      |                                                            ^~~~~~~~~~~~
      |                                                            NFTA_SET_EXPR
sample01.c:599:60: замечание: сообщение о каждом неописанном идентификаторе выдается один раз в каждой функции, где он встречается
sample01.c: В функции «pwn_create_dynset_rule»:
sample01.c:678:58: ошибка: «NFT_PAYLOAD_INNER_HEADER» не описан (первое использование в этой функции); имелось в виду «NFT_PAYLOAD_LL_HEADER»?
  678 |     nftnl_expr_set_u32(payload, NFTNL_EXPR_PAYLOAD_BASE, NFT_PAYLOAD_INNER_HEADER);
      |                                                          ^~~~~~~~~~~~~~~~~~~~~~~~
      |                                                          NFT_PAYLOAD_LL_HEADER
sample01.c:692:57: ошибка: «NFT_DYNSET_F_EXPR» не описан (первое использование в этой функции); имелось в виду «NFTA_DYNSET_EXPR»?
  692 |     nftnl_expr_set_u32(dynset, NFTNL_EXPR_DYNSET_FLAGS, NFT_DYNSET_F_EXPR);
      |                                                         ^~~~~~~~~~~~~~~~~
      |                                                         NFTA_DYNSET_EXPR
sample01.c: В функции «clone_with_longjmp»:
sample01.c:1875:34: ошибка: «PTHREAD_STACK_MIN» не описан (первое использование в этой функции)
 1875 |     char helper_stack_buffer[2 * PTHREAD_STACK_MIN + __BIGGEST_ALIGNMENT__];
      |                                  ^~~~~~~~~~~~~~~~~
sample01.c:1875:10: предупреждение: неиспользуемая переменная «helper_stack_buffer» [-Wunused-variable]
 1875 |     char helper_stack_buffer[2 * PTHREAD_STACK_MIN + __BIGGEST_ALIGNMENT__];
      |          ^~~~~~~~~~~~~~~~~~~
sample01.c: В функции «cpu_spinning_loop»:
sample01.c:1891:32: ошибка: опущено имя параметра
 1891 | static void *cpu_spinning_loop(void *)

Xintrea ★★★★★
(18.05.23 16:56:28 MSK)

Ссылка

Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)

←	CloudFlare - не пускает на сайт. Но только в одном контейнере

Talks

С праздником!

→

Похожие темы