В systemd 228 обнаружена локальная root-уязвимость

В systemd 228 выявлена опасная локальная уязвимость, которая позволяет непривилегированному пользователю выполнить свой код с правами root. Выпуск systemd 228 лежит в основе дистрибутива SUSE Linux Enterprise 12 SP2 и также применялся в Ubuntu Touch 15.04. Debian и RHEL проблеме не подвержены.

Уязвимость вызвана тем, что выполнение функции touch() приводит к созданию файлов в директории /run с правами 07777 при использовании таймеров systemd. Проблема присутствует в кодовой базе systemd только в выпуске 228 и была около года назад без лишней огласки устранена в выпуске 229. В примечании указано, что исправленная ошибка может привести к DoS-атаке через исчерпание дискового пространства в разделе через заполнение файла /run/systemd/show-status, созданного с правами 07777.

На это исправление обратили внимание разработчики дистрибутива SUSE, которые пришли к выводу что указанная ошибка не ограничивается отказом в обслуживании и может легко быть использована для получения root-доступа в системе. Выставляемые для файла права 07777 подразумевают не только общий доступ на запись, но и установку на файл suid-бита. Файлы создаются под пользователем root. Адаптировав к данной особенности эксплоит от похожей уязвимости, исследователям удалось успешно провести тестовую атаку, присвоив произвольному исполняемому файлу права suid root.

$ ls -la /var/lib/systemd/timers/ -rwsrwsrwt 1 root root 155 18. Jan 11:37 stamp-fstrim.timer $ /var/lib/systemd/timers/stamp-fstrim.timer /bin/sh -p grep bin /etc/shadow bin:*:15288::::::