Новости Linux Опции

[hook]

В версии ядра Linux 5.4 появятся ограничения доступа суперпользователя к ядру



В следующем релизе ядра Linux 5.4 будет реализован набор патчей «lockdown» от специалиста Red Hat Дэвида Хоуэллса (David Howells) и исследователя Google Мэтью Гаррета (Matthew Garrett). Набор патчей ограничивает доступ суперпользователя к ядру. Функционал «lockdown» был добавлен в LSM-модуль (Linux Security Module), который разделяет UID 0 и ядро, ограничивая тем самым некоторую функциональность нижнего уровня. Злоумышленник, способный выполнить код с привилегиями суперпользователя, может также выполнить код на уровне ядра. Для этого ему нужно с помощью kexec заменить ядро или через /dev/kmem читать/записывать данные в памяти. Благодаря этому атакующий сможет обойти протокол UEFI Secure Boot или получить доступ к хранящимся на уровне ядра данным. Режим «lockdown» ограничивает доступ к /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, отладочному режиму kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), интерфейсам ACPI и MSR-регистрам ЦП. Он также блокирует вызовы kexec_file и kexec_load и переход в спящий режим, а также ограничивает использование DMA для PCI-устройств. Кроме того, «lockdown» запрещает импорт кода ACPI из переменных EFI и не позволяет осуществлять действия с портами ввода/вывода. Режим «lockdown» ограничивает только предусмотренные возможности доступа к ядру, однако не спасает от манипуляций, осуществляемых злоумышленником в результате эксплуатации уязвимостей. По умолчанию модуль находится в неактивном состоянии. Для его сборки нужно указать в kconfig опцию SECURITY_LOCKDOWN_LSM, а для активации – использовать параметр ядра "lockdown=", управляющий файл "/sys/kernel/security/lockdown" или сборочные опции LOCK_DOWN_KERNEL_FORCE_*.

securitylab.ru

[hook]

Canonical выпустила крупные обновления для ядра Linux в Ubuntu



Некоторые из исправленных уязвимостей позволяли выполнить произвольный код и вызвать отказ в обслуживании. Британская компания Canonical выпустила обновления для ядра Linux в версиях ОС Ubuntu 19.04 (Disco Dingo) и Ubuntu 18.04 LTS (Bionic Beaver), устраняющие восемнадцать опасных уязвимостей. В числе прочих устранены уязвимости в ряде драйверов, включая Intel Wi-Fi, GTCO, аудиодрайвер USB, Raremono AM/FM/SW, USB Rio 500, CPiA2 video4linux, Softmac USB Prism54, ZR364XX USB, Siano USB MDTV, Line 6 POD USB и USB Line 6. Также затронута спецификация протокола BR/EDR Bluetooth. Эксплуатация уязвимостей позволяет злоумышленникам, находящимся вблизи устройства, украсть важную информацию, вызвать сбой в работе системы или даже выполнить произвольный код. Обновление также исправляет уязвимость в реализации Bluetooth UART, благодаря которой злоумышленник может вызвать отказ в обслуживании и чтение за пределами буфера (Out-of-bounds Read) в драйвере QLIic iSCSI QEDI Initiator, позволяя получить доступ к конфиденциальной информации (память ядра). Эксплуатация уязвимостей в файловой системе XFS, Ethernet-драйвере Hisilicon HNS3 и драйвере Atheros позволяет вызвать отказ в обслуживании. Canonical рекомендует всем пользователям Ubuntu 19.04 (Disco Dingo) обновиться до linux-image 5.0.0-31.33, а пользователям Ubuntu 18.04.3 LTS (Bionic Beaver) — до linux-image 5.0.0-31.33~18.04.1.

securitylab.ru

[hook]

Уязвимость в sudo позволяет запускать на Linux-машинах команды с правами суперпользователя



Проблема возникает только при нестандартных настройках конфигурации и не затрагивает большинство Linux-серверов. Специалист компании Apple Джо Венникс (Joe Vennix) обнаружил уязвимость (CVE-2019-14287) в команде sudo в Linux, позволяющую непривилегированным пользователям запускать команды с правами суперпользователя. К счастью, проблема возникает только при нестандартных настройках конфигурации и не затрагивает большинство Linux-серверов. Команда sudo (super user do) позволяет непривилегированным пользователям, которым было дано соответствующее разрешение или известен пароль суперпользователя, выполнять на Linux-машинах команды с правами суперпользователя. Sudo можно также сконфигурировать для запуска команд от имени другого пользователя (за исключением суперпользователя) путем добавления особых инструкций в конфигурационный файл /etc/sudoers. Уязвимость возникает как раз при настройках конфигурации sudo, позволяющих пользователям запускать команды от имени других пользователей. Добавив в командную строку -u#-1, они могут обойти ограничения и запускать команды с привилегиями суперпользователя. Допустим, администратор создал на сервере mybox пользователя sudo с именем bob, добавив в конфигурационный файл строку mybox bob = (ALL, !root) /usr/bin/vi. По идее, это даст пользователю bob возможность запускать текстовый редактор Vi с привилегиями любого пользователя за исключением суперпользователя. Однако, если bob запустит команду sudo -u#-1 vi, то сможет запускать Vi с привилегиями суперпользователя. Почему так происходит? Скажем, -u#1234 может использоваться в командной строке с sudo для запуска команд, в данном случае Vi, в качестве идентификатора (ID) пользователя 1234. Sudo передает это значение идентификатора через системные вызовы setresuid и setreuid для изменения эффективного ID пользователя команды. В результате, -u#-1 передает через вызовы -1 для изменения эффективного идентификатора на -1. Системный вызов принимает данный ID в качестве особенного и не меняет идентификатор пользователя. Поскольку sudo изначально обладает правами суперпользователя, -1 продолжает работать как суперпользователь. Интересно, что идентификатор пользователя 4294967295 также способен обходить ограничения, поскольку, будучи подписанной 32-разрядной целочисленной переменной, он равен -1. Во избежание возможных атак с использованием данной уязвимости пользователям настоятельно рекомендуется обновить sudo до версии 1.8.28 или более поздней. В обновленной версии sudo -1 больше не принимается в качестве идентификатора пользователя, поэтому эксплуатация уязвимости невозможна.

securitylab.ru

[hook]

Canonical выпустила обновления ядра Linux в Ubuntu



Проблемы исправлены в ядре Linux в версиях Ubuntu 18.04 LTS, Ubuntu 16.04 LTS и Ubuntu 19.10. Британская компания Canonical выпустила обновление ядра Linux в версиях ОС Ubuntu 18.04 LTS (Bionic Beaver) и Ubuntu 16.04 LTS (Xenial Xerus), устраняющее ряд уязвимостей. Одна из проблем (CVE-2019-15902) затрагивает ядро Linux 4.15 для Ubuntu 18.04 LTS (Bionic Beaver) и связана с некорректной реализацией мер защиты от уязвимостей класса Spectre в подсистеме ptrace. Ее эксплуатация позволяет злоумышленнику раскрыть конфиденциальную информацию. Другая проблема, связанная с переполнением буфера (CVE-2019-15918), содержится в сетевой файловой системе SMB. Две уязвимости (CVE-2019-15117 и CVE-2019-15118) содержатся в аудио драйвере USB, и еще одна (CVE-2019-14821) — в гипервизоре KVM. Их эксплуатация позволяет вызвать сбой системы. Исправлено несколько уязвимостей в драйвере RSI 91x Wi-Fi ядра Linux (CVE-2018-21008) и драйвере Marvell Wi-Fi (CVE-2019-14814, CVE -2019-14815, CVE-2019-14816), которые позволяют вызвать сбой системы или выполнить произвольный код. Исправлены проблемы, затрагивающие ядро Linux 4.4 для Ubuntu 16.04 LTS, в частности две уязвимости «состояния гонки» (CVE-2016-10906 и CVE-2017-18232) в драйверах ARC EMAC и Serial Attached SCSI (SAS), которые позволяют локальному злоумышленнику вызвать отказ в обслуживании системы. Также выпущено обновление ядра Linux в версиях ОС Ubuntu 19.10 (Eoan Ermine), которое исправляет опасную уязвимость. Проблема использование после освобождения (CVE-2019-18198) затрагивает версии ядра Linux от 5.3 до 5.3.4 и содержится в реализации маршрутизации IPv6. Ее эксплуатация позволяет злоумышленнику вызвать сбой в работе системы или выполнить произвольный код. Компания Canonical рекомендует пользователям Ubuntu 18.04 LTS и Ubuntu 16.04.6 LTS c ядром Linux 4.15 обновиться до linux-image 4.15.0-66.75, пользователям Ubuntu 16.04 LTS с ядром Linux 4.4 — до linux-image 4.4.0-166.195, а пользователям Ubuntu 19.10 (Eoan Ermine) — до linux-image 5.3.0-19.20.

securitylab.ru