image

Linux-lek laat lokale gebruiker rechten verhogen

donderdag 20 oktober 2016, 15:47 door Redactie, 3 reacties

Er is een nieuw beveiligingslek in de Linux-kernel ontdekt waardoor een lokale gebruiker zijn rechten kan verhogen en bestanden kan aanpassen. De kwetsbaarheid, die door Phil Oester werd ontdekt, wordt Dirty COW genoemd en betreft een 'race condition' in een subsysteem van de Linux-kernel.

Via de kwetsbaarheid kan een lokale gebruiker zonder rechten schrijftoegang tot geheugenmappings krijgen die anders alleen-lezen zouden zijn en zo zijn rechten op het systeem verhogen. Ook kan een aanvaller met een lokaal systeemaccount bestanden op het systeem aanpassen, waarbij de standaard toegangsmechanismen die dergelijke aanpassingen zonder de juiste permissies moeten voorkomen, kunnen worden omzeild. Inmiddels zijn er voor Debian, Red Hat en Ubuntu updates uitgekomen. Volgens Red Hat zou de kwetsbaarheid al actief "in het wild" zijn aangevallen, maar verdere details hierover ontbreken. De kwetsbaarheid is vooral een probleem in omgevingen waar systemen meerdere Linux-gebruikers hebben, bijvoorbeeld bij providers.

Reacties (3)
21-10-2016, 07:43 door Erik van Straten
Dit is heel slecht nieuws voor Linux systemen met non-root gebruikers die niet gepatched worden en die geen andere maatregelen toepassen waardoor de exploit niet werkt, uit [1] (prima uitleg van deze issue trouwens):
If you use a distro that does not make /proc/self/mem writable, such as Red Hat Enterprise Linux 5 and 6, then the exploit code fails.
Daarbij denk ik in de eerste plaats aan de vele Android devices die geen patches meer ontvangen (maar ik weet niet zeker of dat OS kwetsbaar is) en zelden of nooit gepatchte systemen waarbij daemons (services) bewust niet als root draaien om risico's te beperken.

[1] http://www.theregister.co.uk/2016/10/21/linux_privilege_escalation_hole/
21-10-2016, 10:04 door [Account Verwijderd] - Bijgewerkt: 21-10-2016, 13:08
[Verwijderd]
22-10-2016, 15:39 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.