Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致提权漏洞。
漏洞描述
漏洞编号:CVE-2016-5195 漏洞名称:Linux写拷贝污染(也叫:脏牛(Dirty COW)) 漏洞危害:低权限用户利用该漏洞技术可以在全版本Linux系统上实现本地提权 影响范围:Linux内核>=2.6.22(包括Pc与Android)
漏洞相关细节
到目前为止,该漏洞的利用程序尚未公布。该漏洞由于get_user_pages()的条件竞争漏洞导致。没有什么办法能够保证handle_mm_fault()一定能够触发COW条件-如果另一个线程结束并以某种方式修改了页表,handle_mm_fault()将会终止,我们需要重试这个操作。这还算好的,get_user_pages()最后是尝试读取操作,因此理论上写访问结束时会丢失已经污染的位或者一个内存页上没有适合COW的地方。这让get_user_pages()总是尝试写访问由于"follow_page()"产生的写访问需要一个可写的污染位集合。这简化了解决竞争的代码:如果COW由于某些原因执行失败了,我们只需要不断重复执行。
提交者在11年前就尝试修复这个古老的漏洞,提交编号4ceb5db9757a("修复get_user_pages()的写访问竞争"),但是后来由于s390问题又回滚了,提交编号f33ea7f404e5("修复get_user_pages漏洞")。
同时,s390已经修复很久了,现在我们能够通过适当的校验pte_dirty()位来修复。s390污染位已经在abf09bed3cce 中实现了(("s390/mm:实现软件污染位")。更好的内核需要自行查看内存页。
同样,VM的扩展性变得更好,并且使用了一个更好的竞争使得触发更容易。
为了修复它,我们引入一个新的内部FOLL_COW标志来标记“yes,我们已经做了一次写拷贝了”来取代与FOLL_WRITE之间的竞争游戏,然后使用pte污染标记去校验FOLL_COW标记是否仍然生效。
漏洞验证
将代码下载到本地后,使用gcc进行编译。 根据源码的注释,可以看出利用poc将foo文件的内容进行篡改。 同理只要把/etc/passwd中低权限用户的 uid改成 0 ,后面这个低权限用户就可以以 root权限登录了。
如何修复漏洞
Linux团队正在积极的修复此漏洞; 普通用户可以通过系统更新到最新发行版修复此漏洞; 软件开发人员也可以通过 https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619 重新编译Linux修复此漏洞。
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2016-10-22 19:00:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡