The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в rt-ядре RHEL, позволяющая выполнить команду SysRq, отправив пакет ICMP

17.05.2016 10:33

В ядре kernel-rt c реализацией режима реального времени для Red Hat Enterprise Linux выявлена проблема с безопасностью, позволяющая организовать атаку по выполнению произвольных команд SysRq (например, инициировать перезагрузку) через отправку специально оформленных пакетов ICMP echo. Проблема связана с недоработкой в реализации функции отправки команд SysRq по сети, которая не была принята в состав основного ядра, но вошла в состав пакета kernel-rt с набором патчей PREEMPT_RT. Патч также используется в пакетах с ядром в некоторых других дистрибутивах, например проблема присутствует в ядре из состава Debian (дополнение: несмотря на то, что в трекере Debian все ядра помечены как уязвимые, фактически в ядре из Debian нет следов патча CONFIG_SYSRQ_PING). Обычное (не "-rt") ядро RHEL проблеме не подвержено.

Патч отправки SysRq по сети был создан для реагирования на зависания системы, при которых система никак не реагирует на клавиатурный ввод, но продолжает отвечать на запросы ping. Патч предлагает опцию CONFIG_SYSRQ_PING при активации которой пользователь может добавить в файл /sys/kernel/debug/network_sysrq_magic секретную кодовую последовательность, которая в дальнейшем может использоваться в качестве ключа для удалённого выполнения команд SysRq. Например, команду SysRq можно отправить через "ping -c 1 -p 1623a06f554d46d676d 192.168.1.1", где 1623a06f554d46d67 - ключ, а 6d - код команды sysrq-m.

Реализация имеет две проблемы: Размер ключа составляет не более 30 шестнадцатеричных цифр (на практике может быть указано существенно меньше цифр), что с учётом легковесности пакетов icmp позволяет удалённому злоумышленнику совершить bruteforce-атаку и методом подбора определить нужный ключ. Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44443-sysrq
Ключевые слова: sysrq, kernel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:47, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Лол
     
  • 1.2, DmA (??), 10:49, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    чего только не придумают для создания новых дыр в системе.
     
  • 1.3, MPEG LA (ok), 10:57, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >не более 30 шестнадцатеричных чисел

    цифр. 1.32*10^36 значений. даже если миллион пакетов в секунду, то это туева хуча лет на брутфорс. а вот третья проблема - этот ICMP перехватывается и повторяется без проблем.

     
     
  • 2.4, Аноним (-), 11:10, 17/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    На практике цифр 8-10 используют для пароля, 30 - это максимальное значение.
     
     
  • 3.5, MPEG LA (ok), 11:50, 17/05/2016 [^] [^^] [^^^] [ответить]  
  • +10 +/
    думается мне, что людей, которые понимают debugfs, SysRq, ICMP и отправку данных поверх него, при этом не понимая брутфорса, на этой планете довольно мало. Ну по-крайней мере надеюсь на это.
     
     
  • 4.24, Аноним (-), 01:32, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А как проверить, что ключ подошёл? Слать команду "ребут" и детектить момент, когда пинги перестанут идти, что ли?
     

  • 1.8, None (??), 12:22, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Радует то, что самую серьёзную уязвимость - возможность осуществить DoS атаку путём нажатия кнопки reset на системном блоке - многие вендоры уже устранили.
     
  • 1.9, Аноним (-), 12:30, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я так понял, это для отладки и ковыряния на полигоне. Не для тырнетов же, разве не так?

    Спасибо, не знал о такой полезной функции.

     
  • 1.10, Аноним (-), 12:32, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Главное что это не в основной ветке, а то что делают другие для себя это их проблема
     
  • 1.11, anonymous (??), 12:57, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Пинг смерти 20 лет спустя
     
     
  • 2.21, angra (ok), 21:10, 17/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, для его успешности надо подождать всего лишь жалкие двадцать секстиллионов лет.
     

  • 1.12, Аноним (-), 12:58, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давайте перезагрузим биржи! И операционные центры Visa и MasterCrad! И ... И... Ну не знаю! Или они все уже обновились?
     
     
  • 2.19, Аноним (-), 18:46, 17/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А вы их айпишники знаете?
     

  • 1.14, EuPhobos (ok), 13:57, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.

    Ой ли?..

    $ cd /sys/kernel/debug/
    bash: cd: /sys/kernel/debug/: Отказано в доступе

    drwx------ 21 root root    0 апр 28 13:06 debug

    Не доктор вэб ли опять панику наводит?
    Высосать из пальца проблему.

     
     
  • 2.25, Аноним (-), 10:01, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Ой ли?..

    У тебя RHEL? Новость вообще то про неё

     
     
  • 3.27, EuPhobos (ok), 11:26, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > У тебя RHEL? Новость вообще то про неё

    Там дебьян приписали..
    Да и для RHEL проблемы как таковой нет, если есть мозги у админа и руки из плеч.

     

  • 1.15, Аноним (-), 14:09, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    что вообще это за хрень? опять проделки пОТТЕРА?
     
     
  • 2.18, Andrey Mitrofanov (?), 15:38, 17/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > что вообще это за хрень? опять проделки пОТТЕРА?

    https://lwn.net/Articles/448790/ Разве что он завёл себе псевдоним.

     

  • 1.16, vitalif (ok), 14:12, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так это ж прямо escape_me m0r1k'овский!! =)) Ромин то есть, мы с ним в агаве работали))) он так себе комп перезагружал удалённо, когда firefox (2.x какой-то ещё) всю память выжирал...
     
  • 1.17, sasku (ok), 15:21, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.

    Debian 8, Debian 9:
    drwx------ 23 root root    0 Mar 10 10:17 debug

     
  • 1.20, Ursadon (ok), 19:08, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Чё панику развели?
    Написано же: не использовать в небезопасном окружении.
    Реализацию сделали, а как закрыться - пусть думает админ.
    Не надо - не используй модуль.

    diff --git a/Documentation/networking/sysrq-ping.txt b/Documentation/networking/sysrq-ping.txt
    ....
    +   Allows execution of sysrq-X commands via ping over ipv4.  This is a
    +   known security hazard and should not be used in unsecure
    +   environments.


    И вообще, патчу 5 лет. С разморозкой, RedHat!

     
  • 1.22, Шарп (ok), 21:28, 17/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Софт должен попадать в репы с минимальными изменениями.
    Вот поэтому арч выгодно отличается от подобных дистрибутивов, в которых пользователя всего обмазывают всякими низкокачественными патчами.
     
     
  • 2.23, anonymous (??), 00:36, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Молодец, сили дальше без PREEMPT_RT
     

  • 1.26, qwerty (??), 10:03, 18/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бред, какой то, какая же это уязвимость то, НОРМАЛЬНЫЙ админ, который устанавливает подобные системы должен изолировать их от инета что бы не мешал, ибо rt-шный системы делают не для инета.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру