Falha de dois anos no kernel linux finalmente foi corrigida

Falhas são comuns em qualquer software, e o kernel do Linux não está imune a isso. Confira os detalhes de uma falha de dois anos no kernel e veja se ela afeta seu sistema.



A falha descoberta por pesquisadores do Qualys Research Labs afeta todas as distribuições Linux que não corrigiram seus kernels após um commit lançado em 14 de abril de 2015.

Falha de dois anos no kernel linux finalmente foi corrigida
Falha de dois anos no kernel linux foi apenas corrigida

Rastreada como CVE-2017–1000253, a falha pode ser explorada por invasores afim de aumentar os privilégios.

A vulnerabilidade reside na forma como o kernel carrega os executáveis ELF e pode ser acionado por aplicativos que foram compilados como Executáveis Independentes de Posição (PIEs).

Na época, a vulnerabilidade não era reconhecida como uma ameaça de segurança e a correção não foi reportada para o Linux v3.10.77 em maio de 2015.

Distribuições Linux que não corrigiram seus kernels LTS com https://git.kernel.org/Linus/a87938b2e246b81b4fb713edb371a9fa3c5c3c86 (commit em 14 de abril de 2015) são vulneráveis a CVE-2017–1000253, uma Escalação de Privilégios Local“.

Conforme comunicado de segurança publicado pela Qualys.

Notavelmente, todas as versões do CentOS 7 antes da v1708 (lançada em 13 de setembro de 2017), todas as versões do Red Hat Enterprise Linux 7 antes da v7.4 (lançada em 01 de agosto de 2017) e todas as versões do CentOS 6 e Red Hat Enterprise Linux 6 são exploráveis“, conforme a Qualys Security Advisory.

“Uma falha foi encontrada na forma como o kernel Linux carrega executáveis ELF. Desde que um aplicativo seja como PIE (Position Independent Executable), o carregador pode permitir que parte do segmento de dados desse aplicativo possa mapear a área de memória reservada para sua pilha, potencialmente resultando em corrupção de memória”, conforme aviso publicado na redhat. “Um usuário local sem privilégios com acesso ao binário de PIE SUID (ou privilegiado de outra forma) poderia usar essa falha para escalar seus privilégios no sistema”.

Para atenuar a vulnerabilidade, os usuários precisarão definir o layout do lagacy mmap como 1 (vm.legacy_va_layout to 1).

De acordo com Qualys, a vulnerabilidade não é limitada a PIEs com segmentos de leitura-gravação maiores que 128MB, porque isso representa a distância mínima entre o mmap_baseand e o endereço mais alto da pilha, não o endereço mais baixo.

Os especialistas relataram que passando 1.5 GB de Strings de argumento para execve(), qualquer PIE pode ser diretamente mapeada abaixo da pilha e disparar a vulnerabilidade CVE-2017–1000253.

Os investigadores publicaram uma prova de conceito do código Exploit testado com sucesso de contras as versões do kernel CentOS-7 v3.10.0–514.21.2.el7.x86_64, v3.10.0–514.26.1.el7.x86_64..el7.x86_64, v3.10.0–514.26.1.el7.x86_64..el7.x86_64, v3.10.0–514.26.1.el7.x86_64.

Pacotes Linux kernel-RT antes da versão do kernel v3.10.0–693.rt56.617 (Red Hat Enteprise Linux for Realtime) e v3.10.0–693.2.1.rt56.585.el6rt (Red Hat Enterprise MRG 2) são afetados pela falha.

Se sua distribuição já atualizou o kernel para uma versão mais recente, seu sistema está imune a qualquer exploração dessa falha.

O que está sendo falado no blog nos últimos dias


Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.