Локальная root-уязвимость в ядре Linux
В ядре Linux обнаружена локальная уязвимость (CVE-2016-8655), позволяющая локальному непривилегированному пользователю выполнить код с правами root. В том числе, уязвимость может быть использована для выполнения кода вне изолированных контейнеров, работающих с использованием пространств имен идентификаторов пользователей. Рабочий прототип эксплоита продемонстрирован для Ubuntu 16.04 и работает независимо от активации механизмов защиты SMEP/SMAP (Supervisor Mode Execution Prevention/Supervisor Mode Access Prevention).
Проблема вызвана состоянием гонки в коде net/packet/af_packet.c и присутствует, начиная с выпуска 3.2-rc1, представленного в августе 2011 года. Уязвимость присутствует в функции packet_set_ring и позволяет через манипуляции с кольцевым буфером TPACKET_V3 осуществить обращение по уже освобожденному указателю функции, что может быть эксплутаировано для запуска кода на уровне ядра Linux.
Для атаки пользователь должен иметь полномочия по созданию сокетов AF_PACKET, которые предоставляются при наличии прав CAP_NET_RAW. В Debian, Red Hat Enterprise Linux и, возможно, в некоторых других дистрибутивах (требуется уточнение информации) проблема проявляется только при предоставлении администратором прав CAP_NET_RAW и активации поддержки пространств имен идентификаторов пользователей (user namespaces, sysctl kernel.unprivileged_userns_clone=1), которая отключена по умолчанию. В Ubuntu и Fedora режим user namespaces включен по умолчанию, но для атаки по-прежнему требуется получение полномочий CAP_NET_RAW. На платформе Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.
Патч с исправлением уязвимости принят в состав ядра Linux 4.9-rc8. Обновления пактов пока выпущены только для Ubuntu. Проблема остается неисправленной в Fedora, openSUSE, Debian, Fedora, CentOS/RHEL 7, SUSE Linux Enerprise 12. Уязвимость не затрагивает SLE 11, RHEL 5 и RHEL 6.
