image

Linux, FreeBSD en Solaris kwetsbaar door Stack Clash-lek

dinsdag 20 juni 2017, 10:10 door Redactie, 13 reacties

Populaire besturingssystemen zoals Linux, OpenBSD, NetBSD, FreeBSD en Solaris zijn kwetsbaar voor een beveiligingslek waardoor een lokale ingelogde gebruiker rootrechten kan krijgen. Het lek zorgt ervoor dat een aanvaller het geheugen kan corrumperen en vervolgens willekeurige code kan uitvoeren.

De kwetsbaarheid maakt gebruik van de 'stack'. Elk programma op een computer gebruikt een speciaal geheugengebied genaamd de stack. Dit geheugengebied is bijzonder omdat het automatisch groeit als het programma meer stackgeheugen nodig heeft. Maar als het te groot wordt en te dicht bij een ander geheugengebied komt, kan het programma de stack verwarren met het andere geheugengebied. Een aanvaller kan hiervan misbruik maken om de stack met een ander geheugengebied te overschrijven of andersom.

Daarom heeft de kwetsbaarheid de naam 'Stack Clash' gekregen. Het probleem werd door onderzoekers van beveiligingsbedrijf Qualys ontdekt. Het idee om de stack met een ander geheugengebied te laten botsen is niet nieuw. Eerder werd dit al in 2005 gedemonstreerd en een tweede keer in 2010. Na 2010 introduceerde Linux een beveiligingsmaatregel om dergelijke exploits te voorkomen, de zogeheten stack guard-page. Ondanks deze beveiligingsmaatregel zijn stack clashes nog steeds mogelijk.

In totaal gaat het nu om drie verschillende beveiligingslekken voor Linux, OpenBSD, NetBSD, FreeBSD en Solaris op i386 of amd64. Andere platformen zijn mogelijk ook kwetsbaar. De onderzoekers laten weten dat ze niet bekend zijn met mogelijkheden om de kwetsbaarheid op afstand uit te buiten. Beheerders krijgen het dringende advies de kwetsbaarheden meteen te patchen. Voor de bekendmaking werd er met leveranciers samengewerkt die inmiddels updates hebben uitgebracht. Ook Oracle adviseert Solaris-beheerders om de patches zo snel als mogelijk uit te rollen.

Reacties (13)
20-06-2017, 10:48 door Anoniem
The following Red Hat Security Advisory has been published which may affect subscriptions which you have purchased.


RHSA-2017:1484 Important: kernel security update


Summary:

An update for kernel is now available for Red Hat Enterprise Linux 7.

Red Hat Product Security has rated this update as having a security impact of Important. A Common Vulnerability Scoring System (CVSS) base score, which gives a detailed severity rating, is available for each vulnerability from the CVE link(s) in the References section.

The kernel packages contain the Linux kernel, the core of any Linux operating system.

Security Fix(es):

* A flaw was found in the way memory was being allocated on the stack for user space binaries. If heap (or different memory region) and stack memory regions were adjacent to each other, an attacker could use this flaw to jump over the stack guard gap, cause controlled memory corruption on process stack or the adjacent memory region, and thus increase their privileges on the system. This is a kernel-side mitigation which increases the stack guard gap size from one page to 1 MiB to make successful exploitation of this issue more difficult. (CVE-2017-1000364, Important)

Red Hat would like to thank Qualys Research Labs for reporting this issue.
20-06-2017, 12:17 door Anoniem
Zo, die zijn er weer eens snel bij met patchen.
20-06-2017, 13:46 door Anoniem
Waarom deze Jip en Janneke uitleg? Stacksmashing is toch de moeder van alle binary exploit methodes? Zoals alle bufferoverflows eigenlijk want de buffers bevinden zich in het stack segment van het geheugen. 20 jaar oud probleem waar allerhande beveiligingstruucs voor zijn maar nauwelijks toegepast worden op kernels en userland. Google maar op stackprotection.
20-06-2017, 14:03 door Anoniem
Stack smashing gaat meestal over het overschrijven van het return address (ook op de stack). Met deze aanval wordt data op de heap overschreven ipv. op de stack.
20-06-2017, 16:15 door Anoniem
Door Anoniem: Stack smashing gaat meestal over het overschrijven van het return address (ook op de stack). Met deze aanval wordt data op de heap overschreven ipv. op de stack.

Blij dat er nog een oplettende lezer is voor de details. Maar het principe blijft hetzelfde, nietwaar :-) Dit zijn verreweg wel de meest interessante typen aanvallen. Lekker prutsen met debuggers en assembly .. lekker puzzelen.
20-06-2017, 16:54 door Anoniem
Tja dan zou een mac hier ook denk ik kwatsbaar voor zijn met Mac Os sierra 10.12.5
20-06-2017, 18:08 door Anoniem
Door Anoniem: Tja dan zou een mac hier ook denk ik kwatsbaar voor zijn met Mac Os sierra 10.12.5

Die kans is wel groot maar (nog) niet aangetoond.
20-06-2017, 18:29 door Tha Cleaner
Door Anoniem: Zo, die zijn er weer eens snel bij met patchen.
Dat wil niet zeggen dat machines ook snel gepatched worden. Mede door alle IOT devices gaat dit nog heel lang duren voordat deze issues opgelost zijn.
20-06-2017, 18:43 door Anoniem
Door Tha Cleaner:
Door Anoniem: Zo, die zijn er weer eens snel bij met patchen.
Dat wil niet zeggen dat machines ook snel gepatched worden. Mede door alle IOT devices gaat dit nog heel lang duren voordat deze issues opgelost zijn.

Het is geen remote exploit dus het klopt dat het updaten langer gaat duren dan bij een remote exploit.
Je kan je voorstellen dat er slechts een beperkt aantal gebruikers toegang hebben tot het systeem en dat alle gebruikers in principe bekend zijn.
20-06-2017, 20:43 door Anoniem
Door Tha Cleaner:
Door Anoniem: Zo, die zijn er weer eens snel bij met patchen.
Dat wil niet zeggen dat machines ook snel gepatched worden. Mede door alle IOT devices gaat dit nog heel lang duren voordat deze issues opgelost zijn.

De meeste IOT dingen hebben geen i386 of amd64 aan boord maar een arm en laat die op dit moment nog buiten schot blijven.
Overigens is er een workaround die geen nieuwe kernel nodig heeft en dus ook geen reboot.
20-06-2017, 21:25 door Anoniem
Door Anoniem:
Door Tha Cleaner:
Door Anoniem: Zo, die zijn er weer eens snel bij met patchen.
Dat wil niet zeggen dat machines ook snel gepatched worden. Mede door alle IOT devices gaat dit nog heel lang duren voordat deze issues opgelost zijn.

De meeste IOT dingen hebben geen i386 of amd64 aan boord maar een arm en laat die op dit moment nog buiten schot blijven.
Overigens is er een workaround die geen nieuwe kernel nodig heeft en dus ook geen reboot.

Ik was nèt iets te voorbarig:
https://www.ubuntu.com/usn/usn-3325-1/

Dus ook een patch voor ARM.
20-06-2017, 23:37 door Anoniem
We gaan weer wat nieuws te lezen krijgen op StackOverflow en niet voor niets dat het daar zo heet.

Nieuws? Anders is alles feitelijk oude koek van een vers laagje fondant voorzien,
een eeuwige herhaling van wat al eens gezien is,alleen iets anders gebracht, dezelfde code grollen en grappen.

Oude wijn in nieuwe zakken dus.

luntrus
21-06-2017, 06:15 door Anoniem
Door Anoniem: Ik was nèt iets te voorbarig:
https://www.ubuntu.com/usn/usn-3325-1/

Dus ook een patch voor ARM.
Ik weet niet of je daaruit kan concluderen dat het werkelijk een kwetsbaarheid op ARM opleverde. Als je in die pagina de link naar CVE-2017-1000364 volgt zie je maar bij één pakket daadwerkelijk een patch genoemd worden: het source-pakket 'linux', en dat is de basis voor een enorme reeks binaire pakketten voor kernels en kernelmodules op allerlei processorarchitecturen. Waar Ubuntu die informatie heeft staan weet ik niet, maar voor Debian staat het hier:
https://packages.debian.org/search?keywords=linux&searchon=sourcenames&suite=stable&section=all
Het is dus mogelijk dat de patch weliswaar ook in ARM-binaries terechtkomt maar niet omdat het probleem daar ook werkelijk speelt maar omdat de ARM-kernel nou eenmaal uit sources wordt gecompileerd waar de patch in zit; en nu gereleasd en vermeld wordt omdat er ook een reeks andere vulnerabilities wordt opgelost in die release en die versie van de kernel-source nou eenmaal ook die patch bevat.

Ik weet niet zeker of dat ook echt zo is, maar dat expliciet gemeld is dat de kwetsbaarheid de architecturen i386 en amd64 betreft, waar ARM-varianten niet onder vallen, doet het wel vermoeden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.