Portál AbcLinuxu, 27. dubna 2024 02:45


Bezpečnostní chyba CVE-2019-11815 v Linuxu

Byly zveřejněny informace o vážné (CVSS v3.0: 8.1) bezpečnostní chybě CVE-2019-11815 v Linuxu. Jedná se o chybu typu souběh (CWE-362, Race Condition) ve funkci rds_tcp_kill_sock() v net/rds/tcp.c vzdáleně zneužitelnou k spuštění libovolného kódu. Zranitelná jsou jádra do verze 5.0.8. V upstreamu je již chyba opravena [reddit].

14.5.2019 09:55 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

14.5.2019 13:14 Jana J. | skóre: 4 | blog: Sem_vlozte_jmeno_blogu | Praha
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-11815 v Linuxu
Odpovědět | Sbalit | Link | Blokovat | Admin
Znamená to, že když nemám natažený modul rds_tcp, je systém proti útoku zvenku odolný i teď, kdy ještě není k dispozici aktualizace pro můj systém?
14.5.2019 13:23 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-11815 v Linuxu
A druhá otázka - je to zneužitelné, když je vypnutý síťový jmenný prostor? (Podle popisu u toho commitu se zdá, že ne.)
Quando omni flunkus moritati
14.5.2019 13:59 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-11815 v Linuxu
S jádrem bez podpory netns se ta funkce zavolá jen při unloadu modulu, ale pak to stejně bude jen pro init_net, takže nebude use after free. To je ale dnes spíš hypotetická otázka.
14.5.2019 15:37 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-11815 v Linuxu
Já měl na mysli, když se netns vypne takhle za běhu - echo "0">/proc/sys/user/max_net_namespaces
Quando omni flunkus moritati
14.5.2019 22:37 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-11815 v Linuxu

Na to bych se asi musel podívat hlouběji, než se mi chce. Napadají mne dva problémy: jednak už může mít uživatel nějaké netns vytvořené před tím, než mu nastavíte limit na nulu, jednak si nejsem jistý, jestli by nešel zneužít i namespace, který ten uživatel nevlastní, ale buď může vyvolat jeho zrušení nebo aspoň přesně odhadnout, kdy k němu dojde.

Jistější bude, pokud nepoužíváte RDS přes TCP, prostě blacklistovat ten modul.

15.5.2019 00:56 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-11815 v Linuxu
Jo, to neřešte - RDS nepoužívám, spíš jsem si říkal, jestli je to zase další chyba zavlečená s nějakým namespace (z toho mailu: When it is to cleanup net namespace...), i když pro net by to IIRC byla první takhle výrazná. Jinak ten limit zabrání vytvoření netns i rootovi, takže kromě těch, co existují, by to asi jako dočasné opatření mohlo fungovat taky (za předpokladu, že to skutečně souvisí s netns tak, jak jsem pochopil ten mail.)
Quando omni flunkus moritati
14.5.2019 13:39 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-11815 v Linuxu

Určitě. Stejně tak pokud sice modul natažený bude, ale příslušný port (mělo by to být 16385) nebude přístupný zvenku. A i když ano, nebyl bych si úplně jistý tou vzdálenou zneužitelností - zejména pak ke spuštění kódu.

Mimochodem, ono ani to "do verze 5.8" nelze brát úplně vážně. Především 5.0.8 už má backport opravy z 5.1-rc4 a stejně tak ho mají i starší stable větve až po 4.4 (konkrétně 4.4.179). Navíc chyba pochází až ze 4.3-rc1, takže pokud distribuce používá starší jádro a nemá backportovaný commit 467fa15356ac, zranitelná taky nebude.

14.5.2019 13:48 Jana J. | skóre: 4 | blog: Sem_vlozte_jmeno_blogu | Praha
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-11815 v Linuxu
Jasně, takže u mně systémy s CentOS6 + jádrem OpenVZ (2.6.32 a modul není natažený), moje jádra v Gentoo (RDS nemám vůbec zakompilované) i Debiany 9.9 (modul není natažený) jsou v pohodě.

Díky za uklidnění.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.