Linux Kernel PROC文件系统本地权限提升漏洞

发布日期：2006-07-17

CVE ID：CVE-2006-3626

受影响的软件及系统：
====================
RedHat Enterprise Linux WS 4
RedHat Enterprise Linux ES 4
RedHat Enterprise Linux Desktop 4
RedHat Enterprise Linux AS 4
Linux kernel 2.6.17.4
Linux kernel 2.6.17.3
Linux kernel 2.6.17.2
Linux kernel 2.6.17.1
Linux kernel 2.6.17
Linux kernel 2.6.16
Linux kernel 2.6.15
Linux kernel 2.6.14
Linux kernel 2.6.13
Linux kernel 2.6.12
Linux kernel 2.6.11
Linux kernel 2.6.10
Linux kernel 2.6.9
Linux kernel 2.6.8
Linux kernel 2.6.7
Linux kernel 2.6.6
Linux kernel 2.6.5
Linux kernel 2.6.4
Linux kernel 2.6.3
Linux kernel 2.6.2
Linux kernel 2.6.1

综述：
======
Linux 2.6.1-2.6.17.4内核存在设计缺陷，普通用户可以利用该漏洞进行本地本地权限提升。

目前网络上已经有人发布了相应的漏洞利用代码，因此利用该漏洞的攻击事件有可能会大量出现。

分析：
======
Linux Kernel是开放源码操作系统Linux所使用的内核。

Linux Kernel 2.6.1-2.6.17.4的proc文件系统存在一个竞争条件，普通攻击者可以通过该竞争条件结合SUID进行权限提升

由于该漏洞利用起来成功率很高，一个普通用户只要有登录shell，就能利用该漏洞获得root权限，从而控制整个系统，因此会对大量Linux主机造成影响。

使用当前已发布的一个利用代码时，会在syslog日志中产生类似如下信息：
kernel: fd_offset is not page aligned. Please convert program: environ

建议系统管理员检查一下系统日志中是否包含上面的信息，如果发现有上述信息，那很可能您的系统已经被利用这个漏洞入侵了，应当尽快进行更进一步的检查。

解决方法：
==========
如果您暂时无法安装补丁，NSFOCUS安全小组建议管理员设置proc文件系统的属性为nosuid。具体操作如下：

在命令行下运行：
mount -t procfs -o remount,nosuid proc /proc

为了使得上述操作在系统重启后也能生效,建议修改/etc/fstab：
将原来的
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
...
proc            /proc           proc    defaults        0       0
...
添加nosuid选项，即
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
...
proc            /proc           proc    defaults,nosuid 0       0
...

执行上述操作后，Linux将对漏洞的利用条件进行限制，从而避免普通用户的权限提升。

厂商状态：
==========
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://kernel.org/pub/linux/kernel/v2.6/patch-2.6.17.5.gz
http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.17.5.tar.bz2

Debian
------
Debian已经为此发布了一个安全公告（DSA-1111-1）以及相应补丁:
DSA-1111-1：New Linux kernel 2.6.8 packages fix privilege escalation
http://www.debian.org/security/2005/dsa-1111

附加信息：
==========
http://www.nsfocus.net/vulndb/9036
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3626
http://www.kernel.org/
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.17.5
http://lists.grok.org.uk/pipermail/full-disclosure/2006-July/047907.html
http://lists.grok.org.uk/pipermail/full-disclosure/2006-July/047914.html
http://lists.grok.org.uk/pipermail/full-disclosure/2006-July/047915.html
http://lists.grok.org.uk/pipermail/full-disclosure/2006-July/047910.html

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技