首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2015-06)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Ubuntu Linux内核overlayfs文件系统本地权限提升漏洞

发布日期:2015-06-18

CVE ID:CVE-2015-1328

受影响的软件及系统:
====================
Ubuntu Linux 12.04
Ubuntu Linux 14.04
Ubuntu Linux 14.10
Ubuntu Linux 15.04

综述:
======
Ubuntu Linux内核的overlayfs文件系统实现中存在一个权限检查漏洞,本地普通用户可以获取管理员权限。

此漏洞影响所有目前官方支持的Ubuntu Linux版本,目前已经攻击代码发布,建议受影响用户尽快进行升级。

分析:
======
overlayfs文件系统是一种叠合式文件系统,实现了在底层文件系统上叠加另一个文件系统。Linux 内核3.18开始已经加入了对overlayfs的支持。Ubuntu Linux内核在更早的版本就已加入该支持。

overlayfs文件系统在上层文件系统目录中创建新文件时没有正确检查文件权限。它只检查了被修改文件的属主是否有权限在上层文件系统目录写入,导致当从底层文件系统目录中拷贝一个文件到上层文件系统目录时,文件属性也随同拷贝过去。

如果Linux内核设置了CONFIG_USER_NS=y和FS_USERNS_MOUNT标志,将允许一个普通用户在低权限用户命名空间中mout一个overlayfs文件系统。本地普通用户可以利用该漏洞在敏感系统目录中创建新文件或读取敏感文件内容,从而提升到管理员权限。

目前Ubuntu Linux所有官方支持版本包括12.04, 14.04, 14.10, 15.04默认都受此漏洞影响,更老版本也可能受影响。

解决方法:
==========
如果您无法及时升级内核,也不需要使用overlayfs,可以将overelayfs加入黑名单或者直接删除overlayfs.ko或overlay.ko模块文件:

# modprobe -r overlayfs
# echo "blacklist overlayfs" > /etc/modprobe.d/blacklist-overlayfs.conf

注:在一些更老的版本中,该内核模块的名字也可能是overlay。
可以先用modinfo overlay或modinfo overlayfs来确认准确的内核模块名字。

厂商状态:
==========
Ubuntu Linux已经发布了如下安全公告来修复此漏洞:

http://www.ubuntu.com/usn/usn-2640-1
http://www.ubuntu.com/usn/usn-2641-1
http://www.ubuntu.com/usn/usn-2642-1
http://www.ubuntu.com/usn/usn-2643-1
http://www.ubuntu.com/usn/usn-2644-1
http://www.ubuntu.com/usn/usn-2645-1
http://www.ubuntu.com/usn/usn-2646-1
http://www.ubuntu.com/usn/usn-2647-1

附加信息:
==========
1. http://seclists.org/oss-sec/2015/q2/717
2. http://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-1328.html
3. https://www.exploit-db.com/exploits/37292/
4. http://www.nsfocus.net/index.php?act=alert&do=view&aid=158

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技