LINUX.ORG.RU

Уязвимость в реализации инструкции SYSRET всех выпущенных x86-64 процессоров Intel

 , ,


4

4

Компьютерная команда экстренной готовности США (US-CERT) раскрыла уязвимость в реализации инструкции SYSRET в 64-х битном режиме работы процессоров Intel, вызванную некорректной проверкой неканоничности адреса перед сменой привилегий. В результате возможно исполнение произвольного кода в Ring 0 из кода в Ring 3, а следовательно, повышение привилегий локальным пользователем, побег из виртуальной машины и т. п..

Уязвимости не подвержены операционная система Mac OS X и виртуальная машина VMWare.

Уязвимость различных систем этой атаке

>>> Подробности

★★★★

Проверено: JB ()
Последнее исправление: JB (всего исправлений: 1)
$ grep -m1 'model name' /proc/cpuinfo
model name	: AMD Phenom(tm) II X4 B45 Processor
anonymous
()

Уязвимости не подвержены операционная система Mac OS X

Ха-ха.

bk_ ★★
()
Ответ на: комментарий от tazhate

Да, обычного антивируса будет достаточно, чего волноваться.

anonymous
()

Решето - ничего подобного

Ничего такого в этом на самом деле особо и нет. Да есть такая уязвимость, но они всегда и везде будут. При желании хорошая и опытная команда найдет баги и дыры в любом софте. Потому и сущетсвует такая сфера как ИБ. Другое дело насколько быстро такие дыры исправляют, и не висят ли эти багрепорты месяцами.

kusanagi
()
Ответ на: комментарий от gena2x

Is RHEL4 vulnerable? (it's still under Extended LifeCycle support).

Not vulnerable.

Statement:

This issue did not affect the versions of the Linux kernel as shipped with Red Hat Enterprise Linux 5 and 6, and Red Hat Enterprise MRG, as those versions have a guard page between the end of the user-mode accessible virtual address space and the beginning of the non-canonical area due to CVE-2005-1764 fix, and hardened system call handler due to CVE-2006-0744 fix.

This issue did affect the versions of Xen hypervisor as shipped with Red Hat Enterprise Linux 5. A kernel-xen update for Red Hat Enterprise Linux 5 is available to address this flaw.

По русски - уязвим только Xen, без вертуализации беспокоиться не о чем. Проверяющего новости на кол.

gena2x ★★★
()
Ответ на: комментарий от KivApple

ключевое в вашей фразе - «не думаю» если бы не было так накладно, не стали бы делать аппаратную поддержку

zyoung
()
Ответ на: комментарий от anonymous

Что не нравится? Intel-синтакс? Если про то, что я сравниваю RCX не с константой, а с другим регистром - x86_64 мне не даёт сравнить с числом, которое нельзя упихнуть в знаковое целое 32 битное.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

Что не нравится?

1. Jump должен быть только тогда когда ошибка, а не в нормальной ситуации чтобы не было проблем с branch prediction 2. Можно что-нибудь посдвигать чтобы не городить огромных констант.

gena2x ★★★
()

Так этот баг очень старый, ему уже много лет! Либо это тот же самый с нова здорова :)

e7z0x1 ★★★★★
()
Ответ на: комментарий от ms-dos32

rcx должен штатный код возврата заполнить, потому что sysret берёт адрес возврата из этого регистра. А вот rax стоило сохранить, да

KivApple ★★★★★
()

у меня AMD! :P

вопрос: так эта проблема фиксится софтово? т.е. выкидывать железо не надо, просто обновление ОС, где бы все такие sysret или что там - проверялись?

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от note173

У Mountain Lion может быть и not affected. А патч к пердыдущим версиям макоси должен выйти с новой версией

ms-dos32
()

Решето! Хорошо, что у меня AMD.

BattleCoder ★★★★★
()
Ответ на: комментарий от sT331h0rs3

написать подобный комментарий стоит выдающегося интеллекта и ума, быть может поэтому он не первый

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от gena2x

При условии, что верхняя половина адресного пространства ядерная, вряд ли какой-либо sysret будет возвращаться туда. Так что все ветвления как раз по самой вероятной ветке - адрес меньше или равен 0x7FFFFFFFFFFF - тогда ни одного Jump не будет. Jump будет только в случае попытки заюзать дырку или очень маловероятного (возможно, вообще не допустимая, хотя и не дыра) места вызова syscall.

KivApple ★★★★★
()
Ответ на: комментарий от note173

А еще говорят, что mac os решето.

— А под Затонью, говорят, дожди... 
— Кто говорит? 
— Мерлин говорит.©
UNiTE ★★★★★
()
Ответ на: комментарий от KivApple
mov rax, 0xFFFF800000000000
cmp rax, rcx
jbe lbl1
mov rax, 0x7FFFFFFFFFFF 
cmp rax, rcx
jbe lbl2
lbl1:
sysretq
lbl2:
; Код прибивания текущего процесса, потому что он сделал не то, что нужно

Всё хорошо, но только и этот код ошибочный.

DRVTiny ★★★★★
()

Я что-то упустил или линуксоидам не вынесли вердикт что делать и когда?

kma21 ★★★★
()
Ответ на: комментарий от KivApple

Если нужно узнать, попадает rcx в диапазон от 0x7FFFFFFFFFFF до 0xFFFF800000000000, сделай так: mov rax, rcx sub rax, 0x7FFFFFFFFFFF cmp rax, 0xFFFF800000000000 - 0x7FFFFFFFFFFF И всё! Ещё бы я вообще запихал 0x7FFFFFFFFFFF в rbx, например, а потом использовал инструкцию not, поскольку понятно, что константы комплементарны, но это уже немного изврат :)

DRVTiny ★★★★★
()
Ответ на: комментарий от ms-dos32

Дело даже не в оверклокинге. Назойливая реклама и агрессивный маркетинг парней из Санта-Клары у многих вызывала вполне объяснимое отторжение.

UNiTE ★★★★★
()
Ответ на: комментарий от Mirraz

Потом как-то обновлять микрокод? Ну же, специалисты, разъясните толково!

С Intel здесь всё просто.

# /etc/init.d/microcode_ctl start
И всё.

Black_Shadow ★★★★★
()

Сколько процессоров успели продать?

pacify ★★★★★
()
Ответ на: комментарий от unC0Rr

Да, в английском же complementary. В последнее время сомневаюсь в себе даже по самым элементарным поводам.

DRVTiny ★★★★★
()

Может быть, они эту дырку намеренно пропустили, мир захватывать?

Loki29 ★★
()
Ответ на: комментарий от insider

Причем половина 15-строчного патча - это комментарий. Оно и понятно: хорошая архитектура = дешёвое изменение кода...

malbolge ★★
()

дайте два сплоета

Bad_ptr ★★★★★
()
Ответ на: комментарий от Black_Shadow

Когда? Прям щас? А когда тогда, чего дожидаться? Что устанавливать? Ядро обновлять? Я же попросил ТОЛКОВО!

Mirraz
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.