Уязвимость в GNU Screen 4.5.0

30.01.2017 14:41

В недавно вышедшей версии GNU screen 4.5.0 обнаружена уязвимость (CVE-2017-5618), позволяющая переписать произвольными данными или создать файл с привилегиями root, в случае установки screen с флагом suid root. В большинстве дистрибутивов, например в Debian, Ubuntu, RHEL/CentOS, SUSE/openSUSE, утилита screen не имеет бита setuid, однако имеет setgid для группы utmp. Это уменьшает опасность, однако оставляет возможность перезаписи файлов /var/log/{btmp,wtmp,lastlog}*.

Уязвимость была внесена при добавлении новой опции "-L", позволяющей указать файл для записи журнала. Открытие файла производится на стадии до понижения привилегий, и если исполняемый файл screen принадлежит пользователю root и имеет setuid-бит, любой пользователь получает возможность перезаписи файла с правами root. Эксплуатация уязвимости сводится к запуску screen с указанием нужного файла в опции "-L".

исправить +6 +/–

Автор новости: Аноним

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45943-screen

Ключевые слова: screen

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.1, Аноним (-), 18:22, 30/01/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это верно вообще для любой утилиты, принадлежащей root, установленной с suid-битом и имеющей возможность писать в файл.

2.2, Аноним (-), 18:31, 30/01/2017 [^] [^^] [^^^] [ответить]	+9 +/–
Не не верно, так как такие утилиты пишут в файл после сброса привилегий. В screen жутко накосячили вставили проверку открытия файла на запись через fopen(screenlogfile, "w") на этапе разбора опций до сброса привилегий.

1.3, Аноним (-), 18:44, 30/01/2017 [ответить] [﹢﹢﹢] [ · · · ]	–9 +/–
Tmux? Tmux!

2.6, Аноним (-), 19:50, 30/01/2017 [^] [^^] [^^^] [ответить]	–1 +/–
он уже научился bce?

2.9, rshadow (ok), 21:45, 30/01/2017 [^] [^^] [^^^] [ответить]	+6 +/–
Я еще могу понять фанатов и холивары linux vs macos vs windows. Но фанаты и холивары tmux vs screen это реально кому-то делать нех***й.

3.16, A.Stahl (ok), 08:58, 31/01/2017 [^] [^^] [^^^] [ответить]	+/–
Чем холивар tmux vs screen хуже холивара, скажем, vim vs. emacs?

4.24, Аноним (-), 19:21, 31/01/2017 [^] [^^] [^^^] [ответить]

+1 +/–

> Чем холивар tmux vs screen хуже холивара, скажем, vim vs. emacs?

Тем, что vim vs. emacs не холивар, а ересь, ибо божественность emacs несомненна!

1.7, Аноним (-), 20:13, 30/01/2017 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Вот поэтому только Tmux.

1.12, Michael Shigorin (ok), 01:37, 31/01/2017 [ответить] [﹢﹢﹢] [ · · · ]	–8 +/–
$ rpm -q screen screen-4.0.3-alt12.x86_64

2.13, Crazy Alex (ok), 02:02, 31/01/2017 [^] [^^] [^^^] [ответить]	+2 +/–
В Deabian Stable и то 4.2

3.15, Аноним (-), 08:35, 31/01/2017 [^] [^^] [^^^] [ответить]	+4 +/–
У Мишико они святой водой спрыснутые.

4.18, Аноним (-), 10:45, 31/01/2017 [^] [^^] [^^^] [ответить]	+/–
Нет, это форк - HolyScreen.

2.17, Andrey Mitrofanov (?), 09:40, 31/01/2017 [^] [^^] [^^^] [ответить]

+3 +/–

> $ rpm -q screen
> screen-4.0.3-alt12.x86_64

$ ls -l /usr/bin/screen
-rwxr-sr-x 1 root utmp 410688 Сен 3 2015 /usr/bin/screen
$ screen --version
Screen version 4.01.00devel (GNU) 2-May-06

Выиграл, но правльный вопрос -- откуда там вообще suid root-то взялся?

+
Solar Designer http://www.openwall.com/lists/oss-security/2017/01/25/1 =>

[I]"Last but not least, I hope distros don't install screen SUID root these
days. If any distro does, this is yet another reminder to reconsider.

Some install it SGID utmp.  Some take it a step further - Owl and ALT
Linux install it SGID to group screen, which only grants the ability to
invoke utempter (SGID utmp) and tcp_chkpwd (SGID shadow).  Thus, it'd
take a vulnerability in those other tools to make much use of a screen
vulnerability.  Here's an excerpt from ALT Linux's spec file:"[/I]

|
"У тмуксеров и GNU screen suid-root-ый." Начинаю перепись пострадальцев от своих дистрибутивов: ну, выходи строиться, у кого там оно suid-root-ное (и причисляете ли себя к тмуксерам!1)?? =>>

2.19, Аноним (-), 12:34, 31/01/2017 [^] [^^] [^^^] [ответить]	–2 +/–
Кто о чем, а шигорин о своем альте. И как всегда не по теме.

2.21, Sluggard (ok), 13:06, 31/01/2017 [^] [^^] [^^^] [ответить]

+/–

> $ rpm -q screen
> screen-4.0.3-alt12.x86_64

Всё гораздо проще:

$ rpm -q screen
пакет screen не установлен

2.25, SysA (?), 11:25, 01/02/2017 [^] [^^] [^^^] [ответить]

+/–

> $ rpm -q screen
> screen-4.0.3-alt12.x86_64

Gentoo:

[I] app-misc/screen
     Available versions:  4.3.1-r1 4.4.0 ~4.5.0-r1 **9999^t {debug multiuser nethack pam selinux utmp}
     Installed versions:  4.4.0(10:58:59 19/01/17)(pam -debug -multiuser -nethack -selinux)
     Homepage:            https://www.gnu.org/software/screen/
     Description:         screen manager with VT100/ANSI terminal emulation

Т.е. 4.5 маскировано, кто открыл - ССЗБ! :)

1.20, Аноним (-), 12:45, 31/01/2017 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

И только гентушники могут глобально забить на suid:

make.conf:
FEATURES="... suidctl ..."

suidctl.conf:
/bin/mount
/bin/passwd
/bin/su
/bin/umount

Есть ещё один глобальный вариант:

mount -o remount,nosuid /...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: