Интересная уязвимость в ядре Linux

0

0

Автор проекта grsecurity, Brad Spengler, опубликовал эксплойт, использующий очень интересную уязвимость в ядре Linux (драйвер net/tun).

Специфика этой уязвимости состоит в том, что уязвимость отсутствует в исходном коде, но присутствует в бинарном. Как такое возможно? Давайте рассмотрим это на примере. Все начинается с того, что происходит инициализация указателя sk:

struct sock *sk = tun->sk;

Этот код не вызывает ошибок даже если tun == NULL, и не является сам по себе уязвимостью.

Несколькими строками ниже происходит проверка инициализации указателя tun:

if (!tun)
        return POLLERR;

Казалось бы, теперь все правильно. Злодей не пройдет.

Но! При сборке кода компилятор полагает, что указатель tun уже корректно инициализирован и, оптимизируя код, выкидывает проверку факта инициализации (приведенный выше оператор if). Таким образом, ничто не мешает злоумышленнику заставить ядро обращаться по нулевому адресу. Имеем классическую null pointer dereference vulnerability.

Обнаруженная уязвимость позволяет злоумышленнику обойти ограничения SELinux/AppArmor, вызвать крах ядра либо выполнить произвольный код с рутовыми привилегиями.

Представленный сплойт протестирован на ядрах версий 2.6.30 с SELinux и без, а также на 2.6.18 (RHEL5, собирать с опцией -DRHEL5_SUCKS). Для успешной работы данного сплойта необходимо наличие на машине PulseAudio и подгруженного модуля tun.

Более подробную информацию вы можете прочитать в комментариях к коду эксплойта.

Кстати, эту уязвимость уже активно обсуждает у нас в толксах.

>>> Эксплойт

Ссылка

←	Google Voice доступен для Android

Конкурс на создание обоев для рабочего стола Ubuntu 9.10

→

← 1 2 →

Очень хорошо написанная новость. +1

Ruth ★★
(17.07.09 19:17:14 MSD)

Интересно

coyoteqq
(17.07.09 19:23:49 MSD)

Ссылка

То есть что, поскольку в нулевом кольце мы не получим SIGBUS первая конструкция загружает в sk какой-то мусор, а вторая вырезается, т.к tun разыменован и по мнению компилятор он заведомо != NULL?

Absurd ★★★
(17.07.09 19:27:22 MSD)

> Специфика этой уязвимости состоит в том, что уязвимость отсутствует в исходном коде

Ну всеже автор кривит душой. tun->sk есть разименование указателя.

ierton ★★
(17.07.09 19:27:44 MSD)

Ссылка

Автор эксплойта дебил. Как и подпевалы. Он нашел уязвимость tun-драйвера, которой можно воспользоваться через pulseaudio

annoynimous ★★★★★
(17.07.09 19:29:25 MSD)

Ссылка

уфф, не страшно, т.к. на серваках Pulseaudio никогда не будет (убунто^Wгусары молчать!)

dreamer ★★★★★
(17.07.09 19:33:55 MSD)

Ссылка

>ля успешной работы данного сплойта необходимо наличие на машине PulseAudio и подгруженного модуля tun.

Ага. И прокричать в микрофон "Kernel Panic" голосом Балмера.

Pavval ★★★★★
(17.07.09 19:34:43 MSD)

Ссылка

дааа.... выражение соснуть tunца приобретает новый, неожиданный смысл...

shty ★★★★★
(17.07.09 19:36:47 MSD)

Ссылка

Епт, товарищи!!!! У кого все-таки оно работает???

Pavval ★★★★★
(17.07.09 19:37:45 MSD)

Ссылка

Решето! :) ???

impfp ★
(17.07.09 19:52:13 MSD)

Ссылка

>собирать с опцией -DRHEL5_SUCKS

Мне одному кажется, что это толстый троллинг?

Praporshik ★★
(17.07.09 19:54:55 MSD)

-DRHEL5_SUCKS

ЛОЛ :-D

rudchenkos ★
(17.07.09 19:55:30 MSD)

Ссылка

Ответ на: комментарий от Ruth 17.07.09 19:17:14 MSD

согласен, внятно и без смеси французского с нижегородским

impfp ★
(17.07.09 19:56:12 MSD)

Ссылка

Ответ на: комментарий от Absurd 17.07.09 19:27:22 MSD

> То есть что, поскольку в нулевом кольце мы не получим SIGBUS первая конструкция загружает в sk какой-то мусор, а вторая вырезается, т.к tun разыменован и по мнению компилятор он заведомо != NULL?

мм, в Ring0 MMU вызовет исключение CPU при обращении к незамапленному региону адресного пространства

rudchenkos ★
(17.07.09 19:58:21 MSD)

Ссылка

>> -DRHEL5_SUCKS

Т.к. /me не параноик, то из всей новости доставляет только этот флаг :)

Andru ★★★★
(17.07.09 20:01:30 MSD)

Ссылка

Наверное специально для ядра надо в gcc встроить опцию -OneVyiobyvaysya

А сабжевый код крив - надо бы поправить.

Pavval ★★★★★
(17.07.09 20:04:30 MSD)

Ссылка

код - гавно, ампутировать руки автору

rudchenkos ★
(17.07.09 20:10:04 MSD)

Ссылка

пульсоснули тунца, как говорится.

sid350 ★★★★★
(17.07.09 20:14:19 MSD)

Ссылка

> struct sock *sk = tun->sk;
> Этот код не вызывает ошибок даже если tun == NULL, и не является сам по себе уязвимостью.

А кто-нибудь может объяснить, почему разыменование нулевого указателя больше не является ошибкой?

pv4 ★★
(17.07.09 20:14:43 MSD)

Ответ на: комментарий от pv4 17.07.09 20:14:43 MSD

Как я понимаю, в ring0 не происходит нарушения защиты.

Pavval ★★★★★
(17.07.09 20:21:34 MSD)

1) -fno-delete-null-pointer-checks (это если внимательно прочитать http://www.grsecurity.net/%7Espender/exploit.txt )

2)
> struct sock *sk = tun->sk;
> Этот код не вызывает ошибок даже если tun == NULL, и не является сам по
> себе уязвимостью.

Этот код вызывал ошибку, почему, собственно, и был пофиксен: http://lkml.org/lkml/2009/7/6/19 (это, опять же, если внимательно читать).

poige ★
(17.07.09 20:22:16 MSD)

Ссылка

Сейчас набегут оруны „c/c++ - *$&#@!”

ChALkeR ★★★★★
(17.07.09 20:27:14 MSD)

Ответ на: комментарий от ChALkeR 17.07.09 20:27:14 MSD

>Сейчас набегут оруны „c/c++ - *$&#@!”

*$&#@! - это кривые руки. Обычно у подобных кодеров они растут из задницы, потому руки *$&#@!.

Pavval ★★★★★
(17.07.09 20:27:54 MSD)

Ссылка

Ответ на: комментарий от ChALkeR 17.07.09 20:27:14 MSD

>Сейчас набегут оруны „c/c++ - *$&#@!”

Еще про микроядро можно поорать, типа надо засунуть все драйвера в юзерспейс.

Absurd ★★★
(17.07.09 20:43:25 MSD)

что делать без pulseaudio? жажду проверить :)

bobrik ★
(17.07.09 20:46:08 MSD)

Ссылка

Ответ на: комментарий от Absurd 17.07.09 20:43:25 MSD

>Еще про микроядро можно поорать, типа надо засунуть все драйвера в юзерспейс.

+много

imp ★★
(17.07.09 20:58:51 MSD)

Ссылка

Мандрива вот только что выпустила уже патчи: на все пульсы и на утилиты пульс аудио и билиотеки. Какие дистрибутивы тоже выпустили патчи?

renat_gar ★
(17.07.09 21:05:34 MSD)

Ответ на: комментарий от Pavval 17.07.09 20:21:34 MSD

> Как я понимаю, в ring0 не происходит нарушения защиты.

Еще как происходит. Откуда иначе брать Kernel Panic? :)

e_val ★★★
(17.07.09 21:06:46 MSD)

Ответ на: комментарий от e_val 17.07.09 21:06:46 MSD

>> Как я понимаю, в ring0 не происходит нарушения защиты.

>Еще как происходит. Откуда иначе брать Kernel Panic? :)

Да, признаю. Только за нарушением защиты иногда следует только oops.
А panic брать из любого места вызовом соотв. функции.

Pavval ★★★★★
(17.07.09 21:10:26 MSD)

уж0с, как жышно страть.

Correctnoe_imya_polzovatelya ★★★★★
(17.07.09 21:12:50 MSD)

Ссылка

Очень криво написанный код. Должно быть:

struct sock *sk;

if (!tun) return POLLERR;

sk = tun->sk;

sergeil ★
(17.07.09 21:16:13 MSD)

B Ubuntu патч на pulseaudio уже есть, часа 2 назад

Coronzon
(17.07.09 21:16:34 MSD)

Ссылка

Ответ на: комментарий от Pavval 17.07.09 21:10:26 MSD

> А panic брать из любого места вызовом соотв. функции.

Oops тоже - конструкцией *(0) :) Но в приницпе да, Panic может быть вызван и другими причинами - на то в конце смайлик и стоит.

e_val ★★★
(17.07.09 21:18:18 MSD)

Ссылка

хех, когда уж ядро перепишут на яве?

maloi ★★★★★
(17.07.09 21:44:49 MSD)

Ответ на: комментарий от maloi 17.07.09 21:44:49 MSD

Когда в биос JVM встроят.

Pavval ★★★★★
(17.07.09 21:47:38 MSD)

Ответ на: комментарий от Pavval 17.07.09 21:47:38 MSD

Не зарекайся. Ты что, не слышал про яву-на-чипе?

ChALkeR ★★★★★
(17.07.09 21:51:55 MSD)

Ссылка

Это на мой взгляд баг(уязвимость) GCC. Нее?

~~Alesh~~
(17.07.09 21:59:06 MSD)

Ответ на: комментарий от Alesh 17.07.09 21:59:06 MSD

Не, в данном случае проблема ядра (код некорректный). А умность gcc уже давно создает проблемы ядру.

Pavval ★★★★★
(17.07.09 22:03:26 MSD)

Ответ на: комментарий от Pavval 17.07.09 22:03:26 MSD

В данном случае проблему ядру создал не в меру умный программист. Ну вот кто ему мешал написать так, как показал sergeil (см. комментарии выше)?

MYMUR ★★★★
(17.07.09 22:18:03 MSD)

Ответ на: комментарий от MYMUR 17.07.09 22:18:03 MSD

> Ну вот кто ему мешал написать так, как показал sergeil (см. комментарии выше)?

http://lkml.org/lkml/2009/7/6/19 :)

Aceler ★★★★★
(17.07.09 22:39:14 MSD)

Ссылка

Ответ на: комментарий от Praporshik 17.07.09 19:54:55 MSD

>>собирать с опцией -DRHEL5_SUCKS
>Мне одному кажется, что это толстый троллинг?

Автор сплойта просто пошутил, а я оценил его шутку.

З.Ы. На рабочих серваках используем центос, в.т.ч 5, в качестве dom0. Имхо, неплохая система. Конкретно с RHEL уже давно не работал, но ничего против него не имею.

nnz ★★★★
(17.07.09 22:58:27 MSD) автор топика

Pulseaudio RIP

Slackware_user ★★★★★
(17.07.09 22:59:39 MSD)

Ссылка

Люопытно: в ISO/IEC 9899 TC2 говорится об udefined behavoiur при применении к invalid value (в частности, к null pointer) оператора "*" (сноска в разделе 6.5.3.2), но ничего подобного не сказано про применение к invalid value оператора "->" (раздел 6.5.2.3). Или я что-то проглядел, или в стандарте бага (очевидно, что в реальной жизни применение -> к невалидным указателям ни к чему хорошему приводить не должно). И пока стандарт таков, с формальной точки зрения gcc не может в своих оптимизациях полагаться на валидность указателя после первой же "->". Это баг gcc.

Мораль: любовь к низкоуровневым трюкам ни чем хорошим не заканчивается.

Manhunt ★★★★★
(17.07.09 23:30:32 MSD)

Автор эксплойта - рак!

строка 797:
fprintf(stdout, "           ,        ,\n");
fprintf(stdout, "          /(_,    ,_)\\\n");
fprintf(stdout, "          \\ _/    \\_ /\n");
fprintf(stdout, "          //        \\\\\n");
fprintf(stdout, "          \\\\ (@)(@) //\n");
fprintf(stdout, "           \\'=\"==\"='/\n");
fprintf(stdout, "       ,===/        \\===,\n");
fprintf(stdout, "      \",===\\        /===,\"\n");
fprintf(stdout, "      \" ,==='------'===, \"\n");
fprintf(stdout, "       \"                \"\n");

matich ★
(17.07.09 23:37:52 MSD)

на генту тоже выпустили обновление.

RedPossum ★★★★★
(17.07.09 23:40:07 MSD)

Ссылка

struct sock
{
};

struct tun
{  
   struct sock *sk;
};

int z;

int func(struct tun *tun)
{  
   struct sock *sk = tun->sk;

   if (!tun)
     return 2;

   z = 5;

   return 1;
}

/* С каким опциями надо собирать, чтобы увидеть описанную оптимизацию?
 */

ptomaine
(17.07.09 23:42:09 MSD)

Ссылка

Ответ на: комментарий от Manhunt 17.07.09 23:30:32 MSD

> Или я что-то проглядел, или в стандарте бага (очевидно, что в реальной жизни применение -> к невалидным указателям ни к чему хорошему приводить не должно).

советую поразмыслить на досуге над подобным кодом: &(((type*)0)->value)

Displacer ★★
(17.07.09 23:51:12 MSD)

Ответ на: комментарий от Displacer 17.07.09 23:51:12 MSD

Это само собой. И для оператора * аналогичный случай подробно разбирается, всё в той же сноске.

Manhunt ★★★★★
(17.07.09 23:57:46 MSD)

Ссылка

#include <stdio.h>

struct sock
{
};

struct vuln
{
  struct sock *a;
};

int main(int argc, char *argv[])
{
  struct vuln *a = 0;
  struct sock *z = a->a;

  return 0;
}

$gcc test.c -Wall -o test
$./test
Ошибка сегментирования

правда это из userspace

madepa
(18.07.09 00:00:58 MSD)