Уязвимость в tmux, эксплуатируемая через escape-последовательность

06.11.2020 12:54

В консольном оконном менеджере tmux ("terminal multiplexer"), разрабатываемом проектом OpenBSD для замены программы GNU Screen, выявлена уязвимость (CVE-2020-27347), приводящая к переполнению буфера при вводе специально оформленной escape-последовательности. Для атаки достаточно вывести на экран псевдотерминала escape-последовательность, например, пользователь может быть атакован при просмотре через curl содержимого вредоносной страницы, при входе по ssh на вредоносный хост или при выводе содержимого лога, в котором могут быть отражены данные атакующего. Уязвимость устранена или не проявляется (уязвимы только версии, начиная с tmux 2.9) в OpenBSD, Debian, SUSE, RHEL, Fedora, Ubuntu, FreeBSD.

Проблема присутствует в коде обработки escape-последовательностей в функции input_csi_dispatch_sgr_colon, используемой в серверном процессе tmux и потенциально может привести к выполнению кода атакующего из-за ненадлежащей проверки границ буфера. Escape-последовательности вида "\033[::::::7::1:2:3::5:6:7:m" могут перезаписать произвольные 4-байтовые значения в стеке, а при помощи пустых аргументов ("::") можно пропустить выбранные смещения, не затронув канареечные метки в стеке. При отсутствии рандомизации адресного пространства проблема может быть эксплуатирована для выполнения кода атакующего. При включении ASLR эксплуатация не исключается, но создание эксплоита существенно усложняется.

Примеры проблемных escape-последовательностей:



tmux 3.0a-2ubuntu0.1 в Ubuntu 20.04.1 x86_64:

   echo -e
'\033[::::::::::::::::::1431728064::::::::1431829797::::1431915746::m;touch /tmp/PWNED;\0';
 
tmux-3.1-2.fc33.x86_64 в Fedora 33:

   echo -e
'\033[::::::::::::::::::1431723856::::::::1432185743::::1431836040::m;touch /tmp/PWNED;\0';

исправить +23 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/54038-tmux

Ключевые слова: tmux

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (87)

1.1, Fracta1L (ok), 13:01, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	–32 +/–
> приводящая к переполнению буфера при вводе специально оформленной escape-последовательности Обожаю сишечку))

2.3, наноним (?), 13:06, 06/11/2020 [^] [^^] [^^^] [ответить]	+17 +/–
Есть ли способ, как автоматически скрывать твои каменты, сорт-оф-sjw-няша?

3.11, Аноним (11), 13:29, 06/11/2020 [^] [^^] [^^^] [ответить]	+14 +/–
Есть - не открывать комментарии на данном сайте, а заодно на паре других. Потому что.

4.54, Аноним (54), 19:26, 06/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
>не открывать комментарии на данном сайте Э, батенька, полегче, если вы не будете читать наши кремлекомментарии, то нас всех уволят! И кстати вашего Шг. тоже кстати выкинут на мороз за недадобностью!

3.24, Аноним84701 (ok), 14:15, 06/11/2020 [^] [^^] [^^^] [ответить]

+10 +/–

> Есть ли способ, как автоматически скрывать твои каменты, сорт-оф-sjw-няша?

"Личный кабинет", "отслеживание обсуждений и участников", "фильтр участников".
https://www.opennet.ru/cgi-bin/openforum/bv.cgi

Детали и разъяснения
https://www.opennet.ru/openforum/vsluhforumID4/588.html

4.35, Аноним (35), 15:34, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
>Для использования системы пользователь должен быть зарегистрирован в форуме. Вы должны зайти в форум как зарегистрированный участник через ссылку ВХОД А анонимусу как этим воспользоваться? Опять дискриминация!

5.40, Аноним84701 (ok), 16:13, 06/11/2020 [^] [^^] [^^^] [ответить]

+3 +/–

>>Для использования системы пользователь должен быть зарегистрирован в форуме. Вы должны зайти в форум как зарегистрированный участник через ссылку ВХОД
> А анонимусу как этим воспользоваться? Опять дискриминация!

Например, предложить свою реализацию фильтров, полностью на стороне пользователя/в клиенте?

4.42, псевдонимус (?), 16:16, 06/11/2020 [^] [^^] [^^^] [ответить]	–3 +/–
Ты позор анонимусов.

3.33, Аноним (33), 15:21, 06/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Создать правило для блокировщика рекламы.

2.36, A (?), 15:47, 06/11/2020 [^] [^^] [^^^] [ответить]	–2 +/–
В нормальных OS и на нормальных процах переполнение буфера не эксплуатируется.

3.43, develop7 (ok), 16:18, 06/11/2020 [^] [^^] [^^^] [ответить]	+4 +/–
«джентльмены верят друг другу на слово»

4.86, Аноним (86), 18:00, 07/11/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Дело в математике, строгий контроль за W^X и запрет изменений режимов памяти.

4.87, Аноним (86), 18:01, 07/11/2020 [^] [^^] [^^^] [ответить]	–2 +/–
Ты не верь, ты проверь: paxtest blackhat

2.41, Корец (?), 16:14, 06/11/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Для тебя уже заготовлена персональная сишная дырень в аду :)

2.75, Аноним (75), 01:00, 07/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
>> escape-последовательности > Обожаю сишечку)) Это не имеет значения, похожие уязвимости можно и в javascript устроить. Там конечно вряд ли получится "выполнение произвольного кода", но обойти проверки доступа, или "выжрать" всю доступную оперативку - на счёт раз! Те же SQL-инъекции эксплуатируются уже лет 20 как...

3.82, Ordu (ok), 11:32, 07/11/2020 [^] [^^] [^^^] [ответить]	+/–
Классификация уязвимостей придумана не случайно, потому как методы устранения и избегания этих уязвимостей разные. Выход за границу массива делается невозможным при проверке на выход при обращении. sql-инъекцию ты проверками не устранишь (можно попытаться, но на более-менее сложном софте тебе никогда не удастся _доказать_ невозможность sql-инъекции, несмотря ни на какие проверки), к ней нужны другие подходы. Это я к тому, что не переводите стрелки в стиле "а у них негров линчуют".

3.89, СеменСеменыч777 (?), 21:19, 07/11/2020 [^] [^^] [^^^] [ответить]

+/–

> "выжрать" всю доступную оперативку

по-моему, все современные сайты с JS такие.

1.2, InuYasha (??), 13:05, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Знаю контору, где месяц как во всём парке серверов screen на сабж заменили )

2.4, m.makhno (ok), 13:07, 06/11/2020 [^] [^^] [^^^] [ответить]	–8 +/–
даже интересно, а чем руководствовались? screen можно назвать стандартом де-факто, учитывая, что альтернатив то особо и нет

3.6, Owlet (?), 13:11, 06/11/2020 [^] [^^] [^^^] [ответить]	+13 +/–
> альтернатив то особо и нет Мы буквально обсуждаем более функциональную альтернативу.

4.25, Michael Shigorin (ok), 14:16, 06/11/2020 [^] [^^] [^^^] [ответить]	–2 +/–
* не вся функциональность декларирована

3.7, Your mama (?), 13:16, 06/11/2020 [^] [^^] [^^^] [ответить]	–8 +/–
tmux под ISC, что почти BSD,а screen, учитывая что он GNU Screen, думаю понятно под чем. Возможно поэтому tmux и отжимает долю потихоньку.

3.27, Дима (??), 14:33, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
Вот чем руководствовались https://savannah.gnu.org/bugs/?group=screen

2.8, topin89 (ok), 13:18, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
Хорошая новость для конторы, большинство стабильных дистров не затронуло вовсе, остальные уже обновили до исправленной версии

3.72, OpenEcho (?), 00:23, 07/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
>большинство стабильных дистров не затронуло вовсе... Ну это как сказать, попробуйте на дебиане (бастер/стретч) те ескайп строчки из статьи, оно хоть и не делает файл /tmp/PAWNED, но tmux с грохотом падает, ничего из под него уже не будет работать без перезапуска

2.22, Аноним (22), 14:09, 06/11/2020 [^] [^^] [^^^] [ответить]	–3 +/–
Зачем tmux на серверах? Всегда использовал и использую его строго с локальной тачки Это же базовое правило безопасности: если что-то МОЖНО не устанавливать на сервере, то это НЕ НАДО устанавливать

3.26, Michael Shigorin (ok), 14:17, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
SIGHUP

4.51, myhand (ok), 19:23, 06/11/2020 [^] [^^] [^^^] [ответить]	+2 +/–
"Ой, чота у вас там отвалилось. А причем тут мы?"

3.32, Аноним (32), 15:14, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
Чтобы запустить какой-то длительный процесс в обычном интерактивном терминале, не заморачиваясь с nohup. Для этого, конечно, screen более чем достаточно.

4.46, Sw00p aka Jerom (?), 17:51, 06/11/2020 [^] [^^] [^^^] [ответить]	–2 +/–
Зачем интерактивный процесс запускать в не интерактивном режиме? А как наблюдать тогда за ходом процесса? Перенаправить вывод в файл? А просмотр файла возможен в не интерактивном режиме?

5.55, myhand (ok), 19:26, 06/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Где тебе сказали, что процесс - интерактивный? // Вопрос с подвохом, на умение читать элементарные тексты буквально.

6.57, Sw00p aka Jerom (?), 20:33, 06/11/2020 [^] [^^] [^^^] [ответить]

–1 +/–

> Где тебе сказали, что процесс - интерактивный? // Вопрос с подвохом, на
> умение читать элементарные тексты буквально.

а кто вам сказал, что для запуска не интерактивного процесса нужен tmux или пляски с nohup?

7.59, myhand (ok), 20:52, 06/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Таки да, и микроскопом можно гвозди забивать.

8.60, Аноним (60), 21:07, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
А если амперсанд в конце команды добавить то оно разве не в фоне будет работать ... текст свёрнут, показать

9.63, BrainFucker (ok), 21:52, 06/11/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Будет, но завершит работу, если завершит работу дочерний шелл, например если раз... текст свёрнут, показать

9.78, myhand (ok), 07:22, 07/11/2020 [^] [^^] [^^^] [ответить]	+/–
SIGHUP SIGHUP SIGHUP Напиши 1000 раз Одного, очевидно, для тебя было мало ... текст свёрнут, показать

5.91, Аноним (32), 17:48, 08/11/2020 [^] [^^] [^^^] [ответить]

+1 +/–

Тут два случая - неинтерактивный и интерактивный процессы.

В случае с неинтерактивным, который, однако, не детачится от терминала, нужно обеспечить, чтобы он работал, когда я закрою ssh или у меня отвалится связь. Это можно сделать через nohup и амперсанд, и в принципе так обычно и делают, но screen/tmux зачастую удобнее.

В случае с длительным интерактивным процессом же вообще screen/tmux - единственный вариант, если я хочу закрыть консоль или у меня нестабильное соединение.

6.95, Sw00p aka Jerom (?), 12:02, 09/11/2020 [^] [^^] [^^^] [ответить]

+/–

> Тут два случая - неинтерактивный и интерактивный процессы.

добавьте еще понятие foreground и background

> В случае с неинтерактивным, который, однако, не детачится от терминала, нужно обеспечить,
> чтобы он работал, когда я закрою ssh или у меня отвалится
> связь. Это можно сделать через nohup и амперсанд, и в принципе
> так обычно и делают, но screen/tmux зачастую удобнее.

не деаттачится - foreground, иначе - background

> В случае с длительным интерактивным процессом же вообще screen/tmux - единственный вариант,
> если я хочу закрыть консоль или у меня нестабильное соединение.

интерактивный процесс - ждет действия от пользователя, а тот же foreground процесс - не обязательно.

3.80, Lex (??), 10:44, 07/11/2020 [^] [^^] [^^^] [ответить]	+/–
Это правило касается не только сервера, а любого проекта

2.48, OpenEcho (?), 18:20, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
> Знаю контору, где месяц как во всём парке серверов screen на сабж заменили ) И правильно сделали, - сравните количество CVE tmux и screen

3.94, Анонимленьлогиниться (?), 20:42, 08/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Хм? С момента выхода tmux (наверное, нет смысла смотреть на детские болячки screen, вылезавшие тогда, когда tmux еще в проекте не было) по screen было два CVE, оба локальные (получить информацию о сессии в 2009 и более серьезная в 2017, но тем не менее требующая локального пользователя, а не тупо вывода чего-то через curl, как тут).

1.5, burik666 (ok), 13:10, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> tmux 3.1c Не работает

2.83, погроммист (?), 13:11, 07/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Дык эта версия релизнута как раз под этот фикс.

3.85, burik666 (ok), 13:16, 07/11/2020 [^] [^^] [^^^] [ответить]	+/–
Уже понял. Из текста новости не очевидно это было.

1.9, Иваня (?), 13:21, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
Никогда ещё не приходилось юзать консольные оконные менеджеры, может и к лучшему.

2.12, Аноним (11), 13:30, 06/11/2020 [^] [^^] [^^^] [ответить]	–2 +/–
Собственно, все его пользователи отметились выше.

2.14, Вшталик (?), 13:43, 06/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Самое время начать

2.16, hshhhhh (ok), 13:59, 06/11/2020 [^] [^^] [^^^] [ответить]	+5 +/–
иногда это самый простой способ запустить на сервере какой-нибудь java процесс чтобы он не умер после отключения от хоста при этом если снова подключиться будет виден весь output в консоли и вот это вот всё.

3.23, 1 (??), 14:10, 06/11/2020 [^] [^^] [^^^] [ответить]	–2 +/–
ну для первого есть nohup, а для второго перенаправление вывода.

4.38, hshhhhh (ok), 16:04, 06/11/2020 [^] [^^] [^^^] [ответить]	+4 +/–
> ну для первого есть nohup, а для второго перенаправление вывода. 'nohup' можно сразу же выводить в нужный файл, но зачастую иметь сессию с запущенным процессом просто удобнее.

5.61, 1 (??), 21:21, 06/11/2020 [^] [^^] [^^^] [ответить]	–6 +/–
Нууу, зачастую сетуп.екзе-далее-далее-готово удобно, а еще без штанов удобно, у нас конечно холодно,но говорят так и есть.

2.65, BrainFucker (ok), 21:59, 06/11/2020 [^] [^^] [^^^] [ответить]

+2 +/–

> Никогда ещё не приходилось юзать консольные оконные менеджеры, может и к лучшему.

Скорей всего потому что тебе не приходится по SSH торчать на удалённых хостах.

ЗЫ: предпочитаю Byobu (надстройка над Tmux с дополнительными свистоперделками).

1.15, Аноним (15), 13:53, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
В Fedora 33 не воспроизводится, версия tmux - 3.1. Просто пишет '[server exited unexpectedly]' и ничего не делает.

2.19, 1 (??), 14:01, 06/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
о чем в тексте новости и было написано, но не читатель...

3.20, Аноним (15), 14:04, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
Версия уязвимая, никаких патчей от этой уязвимости нет. Можешь сам проверить: https://src.fedoraproject.org/rpms/tmux/commits/master.

4.28, Аноним (28), 14:47, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
ASLR патамушта

2.84, погроммист (?), 13:13, 07/11/2020 [^] [^^] [^^^] [ответить]	+/–
попробуй после sudo sysctl -w kernel.randomize_va_space=0

1.17, user90 (?), 14:00, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> при просмотре через curl содержимого вредоносной страницы А нефиг так задронеприемлемая_лексика!))

1.21, анон (?), 14:07, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
screen наше всё

2.49, OpenEcho (?), 18:21, 06/11/2020 [^] [^^] [^^^] [ответить]	–1 +/–
https://www.cvedetails.com/vulnerability-list/vendor_id-72/product_id-1860/GNU

3.69, Аноним (28), 22:55, 06/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Да ладно, немного совсем. Последняя появилась после того, как туда набежал Наумов, но он, к счастью, уже слился. А остальные были >10 лет назад.

4.73, OpenEcho (?), 00:38, 07/11/2020 [^] [^^] [^^^] [ответить]

+/–

Вообще-то три cve за последине 10 лет
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=gnu+screen

A у субжа всего 4 cve, включая последнюю, из которых две cve-шки связаны с аппликухами аппло- iTerm2 и вторая GNU Parallel.

Не знаю, по удобству ИМХО тмукс далеко впереди скрина

5.88, Аноним (88), 19:30, 07/11/2020 [^] [^^] [^^^] [ответить]	+/–
Количество CVE ни о чём не говорит. Во-первых, эти списки у каждого свои, во-вторых, попадает в них наверно только десятая часть серьёзных проблем, а несерьёзные обычно вовсе игнорируется. Разобраться какие же там уязвимости были в софте всего пару лет назад (и исправили ли их, в этом дистрибутиве или вообще) бывает довольно непросто, придётся как минимум анализировать исходники и все новости за весь период. В общем случае, конечно, чем свежее софт, тем лучше, если в нём только "внезапно" не найдут бэкдоры спецслужб или откровенно некачественный код. Дыры стараются закрывать, это стремление любого нормального человека.

4.96, Аноним (96), 23:42, 01/02/2022 [^] [^^] [^^^] [ответить]	+/–
Он работает над кодом как и раньше))

1.29, Wilem82 (?), 15:00, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Ничё, со временем всё перепишут на раст и будет чики-брики.

2.44, псевдонимус (?), 16:20, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
Работать перестанет? Программа, а не уязвимость. Охотно верю.

3.47, InuYasha (??), 18:11, 06/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
ага, cheeky-bricky )

4.50, псевдонимус (?), 18:36, 06/11/2020 [^] [^^] [^^^] [ответить]

–1 +/–

> ага, cheeky-bricky )

I v damki! ;-)

5.66, bergentroll (ok), 22:08, 06/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Maslinoo slovil.

5.92, Michael Shigorin (ok), 17:58, 08/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
>> ага, cheeky-bricky ) > I v damki! ;-) Если уж продолжать начатую аналогию, то I v dumbki :]

1.39, Аноним (39), 16:12, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В расте такого быть не может, всегда выведется сообщение о недопустимости ввода подобных сообщений. Взломщики испытают моральные муки и перестанут взламывать.

2.56, myhand (ok), 19:28, 06/11/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Фрактал, проспись и залогинься.

3.64, BrainFucker (ok), 21:55, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
> Фрактал, проспись и залогинься. Только лучше не здесь, а на ЛОРе. Там ему самое место.

1.52, Аноним (52), 19:23, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"при входе по ssh на вредоносный хост" - непонятно, а зачем вообще ходить по ssh на вредоносные хосты?

2.58, пох. (?), 20:34, 06/11/2020 [^] [^^] [^^^] [ответить]

+3 +/–

А чем мне на них - телнетом что-ли ходить?! Он же небезоспастный!

Кто-то может украсть мои пароли от вредоносного хоста, или даже подсунуть мне другой, неправильный троян!

3.62, microsoft (?), 21:29, 06/11/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Да ты философ...

2.68, Рмшъ (?), 22:54, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
Это на тот случай, если твой хост вдруг стал вредоносным. Скажем, у другого человека, виндузятника, ключ угнали.

2.71, Ordu (ok), 23:15, 06/11/2020 [^] [^^] [^^^] [ответить]	+/–
Незачем. Но тебе никто и не предлагал.

1.67, Аноним (67), 22:26, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Каждый раз ржу с этих переполняемых дырищ

2.70, Аноним (28), 22:57, 06/11/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Напиши лучше и без дырищ.

3.90, Аноним (90), 15:00, 08/11/2020 [^] [^^] [^^^] [ответить]	+/–
Деньги будешь плотить, или как всегда?

4.93, Michael Shigorin (ok), 17:59, 08/11/2020 [^] [^^] [^^^] [ответить]	+/–
> Деньги будешь плотить, или как всегда? Стулья вперёд.

2.74, OpenEcho (?), 00:44, 07/11/2020 [^] [^^] [^^^] [ответить]	+/–
> Каждый раз ржу с этих переполняемых дырищ Было бы очень интересно посмотреть на твои проекты, которые без дырищ и хотя бы на 1/100 были б близки по популярности к сабжу.

3.76, Ordu (ok), 02:28, 07/11/2020 [^] [^^] [^^^] [ответить]	–2 +/–
Всегда ржу с людей, которые, испытывая баттхёрт, достают из широких штанин аргумент "сперва добейся".

4.79, Аноним (79), 09:56, 07/11/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Не бзди, ты просто всегда ржёшь. Наверное даже справка есть

5.81, Ordu (ok), 11:27, 07/11/2020 [^] [^^] [^^^] [ответить]

–1 +/–

> Не бзди, ты просто всегда ржёшь.

Ну я хожу на опеннет за этим, так что ничего удивительного.

> Наверное даже справка есть

Нет, у меня с врачами отношения не складываются, и получить из под них справку для меня каждый раз большая проблема. Проще так с начальством поговорить и взять за свой счёт.

1.77, Аноним (-), 05:30, 07/11/2020 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
там эта дыра такая не одна, нутром чую - а доказать не могуж дебажится он нелегко. Попадать на глюки в нём - попадал, но найти и пофиксить в основном не удавалось. Опыт какой-никакой есть - но не помог.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: