Linux, FreeBSD en Solaris kwetsbaar door Stack Clash-lek
Populaire besturingssystemen zoals Linux, OpenBSD, NetBSD, FreeBSD en Solaris zijn kwetsbaar voor een beveiligingslek waardoor een lokale ingelogde gebruiker rootrechten kan krijgen. Het lek zorgt ervoor dat een aanvaller het geheugen kan corrumperen en vervolgens willekeurige code kan uitvoeren.
De kwetsbaarheid maakt gebruik van de 'stack'. Elk programma op een computer gebruikt een speciaal geheugengebied genaamd de stack. Dit geheugengebied is bijzonder omdat het automatisch groeit als het programma meer stackgeheugen nodig heeft. Maar als het te groot wordt en te dicht bij een ander geheugengebied komt, kan het programma de stack verwarren met het andere geheugengebied. Een aanvaller kan hiervan misbruik maken om de stack met een ander geheugengebied te overschrijven of andersom.
Daarom heeft de kwetsbaarheid de naam 'Stack Clash' gekregen. Het probleem werd door onderzoekers van beveiligingsbedrijf Qualys ontdekt. Het idee om de stack met een ander geheugengebied te laten botsen is niet nieuw. Eerder werd dit al in 2005 gedemonstreerd en een tweede keer in 2010. Na 2010 introduceerde Linux een beveiligingsmaatregel om dergelijke exploits te voorkomen, de zogeheten stack guard-page. Ondanks deze beveiligingsmaatregel zijn stack clashes nog steeds mogelijk.
In totaal gaat het nu om drie verschillende beveiligingslekken voor Linux, OpenBSD, NetBSD, FreeBSD en Solaris op i386 of amd64. Andere platformen zijn mogelijk ook kwetsbaar. De onderzoekers laten weten dat ze niet bekend zijn met mogelijkheden om de kwetsbaarheid op afstand uit te buiten. Beheerders krijgen het dringende advies de kwetsbaarheden meteen te patchen. Voor de bekendmaking werd er met leveranciers samengewerkt die inmiddels updates hebben uitgebracht. Ook Oracle adviseert Solaris-beheerders om de patches zo snel als mogelijk uit te rollen.
RHSA-2017:1484 Important: kernel security update
Summary:
An update for kernel is now available for Red Hat Enterprise Linux 7.
Red Hat Product Security has rated this update as having a security impact of Important. A Common Vulnerability Scoring System (CVSS) base score, which gives a detailed severity rating, is available for each vulnerability from the CVE link(s) in the References section.
The kernel packages contain the Linux kernel, the core of any Linux operating system.
Security Fix(es):
* A flaw was found in the way memory was being allocated on the stack for user space binaries. If heap (or different memory region) and stack memory regions were adjacent to each other, an attacker could use this flaw to jump over the stack guard gap, cause controlled memory corruption on process stack or the adjacent memory region, and thus increase their privileges on the system. This is a kernel-side mitigation which increases the stack guard gap size from one page to 1 MiB to make successful exploitation of this issue more difficult. (CVE-2017-1000364, Important)
Red Hat would like to thank Qualys Research Labs for reporting this issue.
Blij dat er nog een oplettende lezer is voor de details. Maar het principe blijft hetzelfde, nietwaar :-) Dit zijn verreweg wel de meest interessante typen aanvallen. Lekker prutsen met debuggers en assembly .. lekker puzzelen.
Die kans is wel groot maar (nog) niet aangetoond.
Het is geen remote exploit dus het klopt dat het updaten langer gaat duren dan bij een remote exploit.
Je kan je voorstellen dat er slechts een beperkt aantal gebruikers toegang hebben tot het systeem en dat alle gebruikers in principe bekend zijn.
De meeste IOT dingen hebben geen i386 of amd64 aan boord maar een arm en laat die op dit moment nog buiten schot blijven.
Overigens is er een workaround die geen nieuwe kernel nodig heeft en dus ook geen reboot.
De meeste IOT dingen hebben geen i386 of amd64 aan boord maar een arm en laat die op dit moment nog buiten schot blijven.
Overigens is er een workaround die geen nieuwe kernel nodig heeft en dus ook geen reboot.
Ik was nèt iets te voorbarig:
https://www.ubuntu.com/usn/usn-3325-1/
Dus ook een patch voor ARM.
Nieuws? Anders is alles feitelijk oude koek van een vers laagje fondant voorzien,
een eeuwige herhaling van wat al eens gezien is,alleen iets anders gebracht, dezelfde code grollen en grappen.
Oude wijn in nieuwe zakken dus.
luntrus
https://www.ubuntu.com/usn/usn-3325-1/
Dus ook een patch voor ARM.
https://packages.debian.org/search?keywords=linux&searchon=sourcenames&suite=stable§ion=all
Het is dus mogelijk dat de patch weliswaar ook in ARM-binaries terechtkomt maar niet omdat het probleem daar ook werkelijk speelt maar omdat de ARM-kernel nou eenmaal uit sources wordt gecompileerd waar de patch in zit; en nu gereleasd en vermeld wordt omdat er ook een reeks andere vulnerabilities wordt opgelost in die release en die versie van de kernel-source nou eenmaal ook die patch bevat.
Ik weet niet zeker of dat ook echt zo is, maar dat expliciet gemeld is dat de kwetsbaarheid de architecturen i386 en amd64 betreft, waar ARM-varianten niet onder vallen, doet het wel vermoeden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
