Ny allvarlig sårbarhet i Linux: DirtyCow

dirtycow

En allvarlig sårbarhet har uppdagats i -kerneln. Sårbarheten har fått namnet eftersom sårbarheten återfinnes i Linux-kernelns  hantering av  (COW). Sårbarheten har fått CVE-2016-5195 och redan nu har det rapporterats att säkerhetsbuggen utnyttjas av aktörer. Observera att detta enbart är en lokal såbarhet.

Ko-buggen introducerades i kernel-version 2.6.22 (som släpptes 2007) och åtgärdades 18:de oktober 2016. Även så har försökt att åtgärda buggen tidigare men misslyckats och de flesta Linux-distarna har nu uppdateringar.

På Github går det att ladda hem en PoC (proof-of-concept) exploit-kod som utnyttjar denna sårbarhet: https://github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c oklart vem som skapat PoC:en men säkerhetsbristen identifierades av Phil Oester.

Denna sårbarhet fungerar enbart på Linux-distar som gör /proc/self/mem skrivbar för användaren. RedHat Enterprise Linux 5 och 6 gör inte det och är således inte sårbar. Buggen beror på ett race-condition som kan triggas och få kerneln att felaktigt skriva till en fil och möjliggör för en angripare att exempelvis skriva till en suid-binär.

Uppdatering: Med hjälp av ptrace så går det att bygga en exploit och då behöver inte /proc/self/mem vara skrivbar.

Givetvis kan du även köpa en fin mugg med DirtyCow-loggan på för 13400 SEK:

dirtycow-mugg

Demo på ytterligare en poc:

blasty

3 comments

  1. Johan

    Svårläst artikel.
    Buggen är ny, men introducerades 2007?
    Problemen är åtgärdade, men trots det gick de inte att åtgärda?
    Buggen utnyttjas av aktörer på internet, men bara lokalt?

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>