Все версии ядра Linux, начиная с 3.8 и заканчивая веткой 4.5 в git, подвержены (http://perception-point.io/2016/01/14/analysis-and-exploitat.../) уязвимости (CVE-2016-0728), позволяющей локальному непривилегированному пользователю получить права суперпользователя.

Ошибка в коде существует с 2012 года - ей подвержены как минимум 66% пользователей ОС Android, которые находятся в зоне повышенного риска, так как Google не может проверить исполняемый код, собранных с использованием NDK (Native Development Kit) мобильных приложений и игр, опубликованных в Google Play. Обычные компьютеры и серверы находятся в относительной безопасности в случае, если в системе только один пользователь, пользователям запрещено исполнять код или экземпляры ОС находятся в среде виртуализации.

Уязвимость присутствует в подсистеме ядра keyrings, отвечающей за кэширование и хранение ключей аутентификации, шифрования и других данных, связанных с безопасностью. Ошибка вызвана утечкой памяти, когда процесс пытается заменить свой текущий сессионный keyring с ним же самим. Эксплуатация уязвимости достаточно тривиальна - код эксплоита (https://gist.github.com/PerceptionPointTeam/18b1e86d1c0f8531...) составляет всего 100 строк на языке C.

Состояние проблемы и её решение можно отслеживать по CVE-2016-0728 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-0728).

URL: http://perception-point.io/2016/01/14/analysis-and-exploitat.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43696

• В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,crypt, 18:58 , 19-Янв-16
  • В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,Аноним, 21:02 , 19-Янв-16
    • В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,Аноним, 23:24 , 19-Янв-16
• В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,РОСКОМУЗОР, 18:58 , 19-Янв-16
• В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,Аноним, 18:52 , 19-Янв-16
  • В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,Аноним, 18:53 , 19-Янв-16
    • В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,Аноним, 18:57 , 19-Янв-16
      • В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,Аноним, 19:00 , 19-Янв-16
        • В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,Аноним, 19:06 , 19-Янв-16
• В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,Аноним, 18:52 , 19-Янв-16
  • В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,Отражение луны, 21:10 , 19-Янв-16
    • В ядре Linux обнаружена локальная 0-day уязвимость, позволяю...,Аноним, 09:04 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 19:14 , 19-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 19:38 , 19-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Crazy Alex, 20:38 , 19-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 22:09 , 19-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Djam1, 19:23 , 19-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 21:18 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Djam1, 19:25 , 19-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 19:50 , 19-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,aaa, 20:37 , 19-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 21:03 , 19-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 20:44 , 19-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,via, 20:49 , 19-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 21:01 , 19-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 09:45 , 21-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 21:24 , 19-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Matias, 23:25 , 19-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 21:28 , 19-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,openuser714, 21:51 , 19-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,_KUL, 00:45 , 20-Янв-16
    • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,openuser714, 07:42 , 20-Янв-16
    • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 12:36 , 20-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,kay, 01:27 , 20-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,kay, 01:28 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Павел Самсонов, 22:20 , 19-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,alhn77, 22:53 , 19-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 23:04 , 19-Янв-16
    • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,alhn77, 23:17 , 19-Янв-16
      • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,all_glory_to_the_hypnotoad, 23:21 , 19-Янв-16
        • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,alhn77, 00:06 , 20-Янв-16
      • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 07:09 , 20-Янв-16
        • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,alhn77, 21:17 , 20-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,анонко, 23:12 , 19-Янв-16
    • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 23:26 , 19-Янв-16
      • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,анонко, 23:30 , 19-Янв-16
    • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Crazy Alex, 01:32 , 20-Янв-16
      • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 05:11 , 20-Янв-16
        • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Crazy Alex, 12:54 , 20-Янв-16
          • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Андрей, 22:59 , 21-Янв-16
            • В ядре Linux обнаружена уязвимость, позволяющая поднять...,arisu, 06:28 , 22-Янв-16
              • В ядре Linux обнаружена уязвимость, позволяющая поднять...,Аноним, 19:51 , 23-Янв-16
                • В ядре Linux обнаружена уязвимость, позволяющая поднять...,arisu, 19:57 , 23-Янв-16
      • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Анатолий, 22:04 , 02-Фев-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,тот же анонко, 00:18 , 20-Янв-16
    • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 10:49 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,321, 23:37 , 19-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аннон, 00:18 , 20-Янв-16
    • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,невидимка, 04:53 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,vitalif, 00:39 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 01:39 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 04:12 , 20-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 12:41 , 20-Янв-16
    • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,анон, 06:48 , 21-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 19:15 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 10:15 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 10:35 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 11:00 , 20-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,SysA, 13:25 , 20-Янв-16
    • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Andrey Mitrofanov, 13:57 , 20-Янв-16
      • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,SysA, 15:19 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,тень_pavel_simple, 12:07 , 20-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,SysA, 13:29 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 13:06 , 20-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 13:18 , 20-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,adolfus, 12:27 , 21-Янв-16
• В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,rob pike, 13:15 , 21-Янв-16
  • В ядре Linux обнаружена уязвимость, позволяющая поднять прив...,Аноним, 13:59 , 21-Янв-16
• PAX_REFCOUNT,добрый, 22:03 , 22-Янв-16

а вы говорите старье плохо, протухший софт... [потирает свой стейбл 2.6.32]

:)

Свой стейбл 2.6.32.9999, в который могли и перетащить какие-то уязвимости из новых.

Нет, бэкпортируют только security fix

Взломай мою Убунту с помощью этой уязвимости?))

keyutils.h: Нет такого файла или каталога

надо поставить keyutils-libs-devel

/tmp/cc6nqzY8.o: In function `main':
1.c:(.text+0x1a1): undefined reference to `keyctl'
и ещё несколько строчек

Так надо собирать так как сказано в эксплоите: gcc cve_2016_0728.c -o cve_2016_0728 -lkeyutils -Wall

Благодарю. Запустил, проверяем-с.

Ладно бы гоогле не могло чототам проверить, оно обновлений-то выпустить не может от своей немощи.

На нексус прилетают, правда раз в месяц. Не проблема андроида)

Судя по стонам о глюках этих ваших нексусов от обновлений, лучше на наших народных китайских кирпичах без обновлений сидеть. Ядро 3.4, глюки минимальны и не меняются со временем.

А что этому эксплоиту в параметры передавать? Я собрал, запустил с параметром - рандомной строкой, оно час работало и в конце выдало что не шмогла.
./cve_2016_0728 k
uid=1000, euid=1000
Increfing...
finished increfing
forking...
finished forking
caling revoke...
uid=1000, euid=1000

Так же, ня.

Оно там с приколами, код смотрите и правьте

В комментарии к коду все написано (первые 2 строчки)

не дождался, прикончил... ну вот что опять не так сделал? ROSA R6 x86_64

Ждал 3 часа. Наконец оно запустило кучу процессов. Процессы повисли. FAIL. При попытке killall повисло ядро. Йопт.

судя по всему нужно keyring название указать или путь...

да сколько можно то, уже за долбало. Линус похоже старым стал, плохо материт тиммэйтов.

C 2.6.18 не помню пюбличного сплойта работающего без танцев с бубном:)
Это не оно.

> C 2.6.18 не помню пюбличного сплойта работающего без танцев с бубном:)
> Это не оно.

1 был.

Обычные компьютеры и серверы находятся в относительной безопасности в случае, если в системе только один пользователь (root)

на 14.04LTS апдейт по CVE-2016-0728 пришел

А все ржут с 2.6 в продакшне) Ну-ну.

Используй 2.4, про него все забыли, даже хакеры.

а чо там с арчем то? пофиксили?

Странно, но у меня в арче не срабоал. Ядро 4.3.3-2, обновления не ставил. Команду вводил как и на скриншоте.

PAX перехватил переполнение:

PAX: refcount overflow detected in: a.out:26737, uid/eid: 1000/1000

Эксплойт убит, значение на счётчике по-прежнему положительное, т.е. переполнения не произошло.

С одной стороны новость очень хорошая, наверняка кому-нибудь очень не хватало рут-доступа на Andoid устройстве.

И ждать пол часа, чтобы этот доступ получить? :)

Да, в большинстве случаев этого будет достаточно чтобы установить стороний режим восстановления, утилиту su.

> И ждать пол часа, чтобы этот доступ получить? :)

Если по другому не пускают - лучше полчаса, чем никак.

Мне вот не хватает. Но у меня ядро 3.4 :(

Мне вот не хватает. Но у меня ядро 3.4 :(

Ну просто ставить не надо на один раздел с верой в непогрешимость кода.

4.3.3-hardened-r4

./cve_2016_0728 PP_KEY
uid=1000, euid=1000
Increfing...
Убито

Пока не видел сабжа, чтобы у кого-то сработало. Баг, походу, все же есть. Может сплоит сыроват. А может быть, импакт немного преувеличен. Но не припомню случая, чтобы вот так публиковали сплоит для ядра linux, а патча еще не было. Если бы у разработчиков были хотя бы сутки-двое - уже были бы обновления в всех основных дистрибутивах, а так, только Debian успели...

Ну еще бы:

[123597.445067] PAX: refcount overflow detected in: cve_2016_0728:14500, uid/euid: 1000/1000
[123597.445075] CPU: 1 PID: 14500 Comm: cve_2016_0728 Tainted: G           O    4.3.3-hardened-r5 #1

Да, спасибо, щас посмотрел dmesg, действительно:
refcount overflow detected in: cve_2016_0728:4095, uid/euid: 1000/1000
Походу баг есть. Так почему же сразу в паблик ребята засветили, с готовым сплоитом? Как-то по п*дорски это, не находите? Не припомню, чтоб для ядра linux такое было раньше. Дали бы хоть пару дней на исправление. Куда мир катится... :(

нормально всё, нехрен в ядро всякую ненужную хрень включать.

> нормально всё, нехрен в ядро всякую ненужную хрень включать.

На всякий случай: по моему и другим сабжам очевидно, что уязвимость (если она есть) не работает с пропатченными ядрами linux и не только (у многих не работает на обычных ядрах).
Но ошибка в коде, скорее всего, есть.
Главное:
1) баги были, есть и будут всегда и везде: и в системном ПО, и в прикладном, и в специальном (антивирусы, СЗИ и т.п.) и в микрокодах процессоров, биосах и т.д. и т.п.  
2) Практически все современные ОС общего назначения, включая Windows, MacOS, Linux/Unix имеют в принципе убогую архитектуру с точки зрения ИБ. И все, в той или иной степени, включают недостаточно проверенный 'говнокод' в конкурентной борьбе с помощью новых фич и поддержки современного железа.
3) В любом случае, непорядочно публиковать эксплоит не дав ни дня для исправления, имхо. Я бы тоже самое сказал бы в случае уязвимости в OC Windows, Mac OS и др.

ну сколько можно в привате держать эксплойт - вот... через 2 года засветили.
но ведь тысячи глаз смотрели код - как же они за 3 года такой баг не нашли?

> ну сколько можно в привате держать эксплойт - вот... через 2 года
> засветили.
> но ведь тысячи глаз смотрели код - как же они за 3
> года такой баг не нашли?

Как сарказм принимаю. Действительно, открытый исходный код не панацея, особенно если надеяться на "тысячи глаз" )). В исходниках можно элегантно замаскировать закладку так, что даже опытный спец не сразу найдет. Но квалифицированный спец + соответствующее ПО найдут. Самое неприятное, можно замаскировать бэкдор в виде очень неочевидной ошибки, даже если и найдут, будет очень сложно зафиксировать преднамеренность действий :(
Мифы развенчаны. Только ведь с контролем исходного кода хоть шанс есть. А закрытом ПО реверсить - почти безнадежно!

/tmp $ ./cve_2016_0728 PP1
uid=1000, euid=1000
Increfing...
finished increfing
forking...
finished forking
caling revoke...
uid=1000, euid=1000
sh-4.3$ whoami
luser
sh-4.3$ uname -r
4.4.0-gentoo
sh-4.3$

А почему у тебя /tmp смонтирован без noexec, а?!

я какмикадзеЭ

Аналогично, и тоже на генте (не hardened) - нет рута.

Да и на debian testing (обновлялся с неделю назад) - тоже безуспешно. Так что насчёт "ужасных эксплоитов в паблике" кто-то погорячился всё же. Ну, или работает только на 64 bit - у меня 32 везде.

Гентушник с 32 битами, о да. Может стоит подумать о более приземленном? Перестать бомжевать, устроится на работу, подготовить трактор?

На кой мне 64 бита? Тот же браузер или IDE жрёт раза в полтора больше памяти, чем на 32-х, а выигрыш в скорости на любых реальных задачах - сомнителен. Больше 4-х гиг на одно приложение у меня и подавно жрать нечему.

А с работой у меня всё в порядке, спасибо за беспокойство, трактор тоже не требуется :-)

> Тот же браузер или IDE жрёт раза в полтора больше памяти

На одном ноуте с 2 GB оперативки я это ой как чувствую. Но без 64-бит сейчас никуда. Не из-за самих бит, а из-за утилит, которые их требуют. Всякие там gcc sanitizers & Co и ещё что-то было.

> Но без 64-бит сейчас никуда. Не из-за самих бит, а из-за
> утилит, которые их требуют.

смотрите дети: это писал говноед. смотрите внимательно, чтобы самим не стать говноедами.

кроме тулсов, еще 64-битные регистры и гарантирован SSE2, что ускоряет мультимедию, крипто и тому подобное, а парашнее х86 сложно что-то найти, х86-64 немного получше.

о, ещё один говноед. вас на конвейере делают, что ли?

"Ну, или работает только на 64 bit - у меня 32 везде"
- Уязвимость, найденная Жанной Рутковской, позволяющая удаленно получать превышение прав при использовании 32-х битных систем на 64-битных процессорах - теперь неактуальна?

/tmp $ ./cve_2016_0728 PP1
uid=1001, euid=1001
Increfing...
finished increfing
forking...
finished forking
caling revoke...
uid=1001, euid=1001
sh-4.3$ whoami
luser
sh-4.3$ uname -r
4.1.12-gentoo
sh-4.3$
ЧЯДНТ?

Может в ядре не включил опцию CONFIG_KEYS?

В описании опции :
This option provides support for retaining authentication tokens and access keys in the kernel.
...
If you are unsure as to whether this is required, answer N.

обращение у освобождённому объекту.. может всё таки перепишите ядро на julia?

нет, если переписывать ядро, то только на PHP!

и эхо откликнулось "НА JAVA, JAVA, JAVA" =)

пока в андроиде рут не встроенный, уязвимости это хорошо)

То-то Debian апдейт выпустили.

2.6.43.8 едро, уже и файловая система летела и баш затерался но всё равно восстанавливаетса, работает как часы! чего и вам желаю!

> уже и файловая система летела и баш затерался

Весь в г0вне, но на коне

тише едиш дальше будеш

> 2.6.43.8 едро, уже и файловая система летела и баш затерался но всё
> равно восстанавливаетса, работает как часы! чего и вам желаю!

Я слышал во времена Она о двух крEтинах, которые админили E250 через инет телнетом. Систему примерно раз в неделю подвергали патчу Бармина, после чего крEтины гордо поднимались из бэкапа и так и продолжали телнетить. Ты такой же, да?

может и нет баги-то

Linux Mint 17.3 после двух часов работы только
Increfing...
Видимо нужно особая удача для того, чтобы воспроизвести.

А зачем ключи в ядре хранить?

> А зачем ключи в ядре хранить?

This option provides support for retaining authentication tokens and access keys in the kernel.                                                                                  
It also includes provision of methods by which such keys might be associated with a process so that network filesystems, encryption support and the like can find them.
Furthermore, a special type of key is available that acts as keyring: a searchable sequence of keys. Each process is equipped with access to five standard keyrings: UID-specific, GID-specific, session, process and thread.

Короче, если ты о них не знаешь, то это еще не значит, что ты (точнее твой ящик) их не используешь! :)

>> А зачем ключи в ядре хранить?
> Короче, если ты о них не знаешь, то это еще не значит,
> что ты (точнее твой ящик) их не используешь! :)

Вы (и цитата тоже) не ответили на вопрос "зачем?". Почему?

>>> А зачем ключи в ядре хранить?
>> Короче, если ты о них не знаешь, то это еще не значит,
>> что ты (точнее твой ящик) их не используешь! :)
> Вы (и цитата тоже) не ответили на вопрос "зачем?". Почему?

Еще раз: "...keys might be associated with a process so that network filesystems, encryption support...", т.е. именно ядро обеспечивает работу сетевых служб и поэтому ему нужны ключи! Поэтому эта опция автоматически активируется в конфигурации ядра, если включены соответствующие сервисы.

# sysctl kernel.keys.maxbytes=1
# sysctl kernel.keys.maxkeys=1
$ ./cve_2016_0728 PP_KEY
uid=1000, euid=1000
keyctl: Disk quota exceeded

> # sysctl kernel.keys.maxbytes=1
> # sysctl kernel.keys.maxkeys=1
> $ ./cve_2016_0728 PP_KEY
> uid=1000, euid=1000
> keyctl: Disk quota exceeded

Ага, ты еще RO на диск поставь! :)

Не работает с последними обновлениями :).
Устарела информация.
Обновляйтесь почаще хоть раз в месяц и будет вам счастье ;).

да и без обновлений тоже не работает.

У меня оно полностью завесило систему. FC22 с последними фиксами на 21.01.2016

> Google's Android security lead, Adrian Ludwig, has promised a fix by March 1. That's the bad news.
> The good news: “We believe that the number of Android devices affected is significantly smaller than initially reported.
> “We believe that no Nexus devices are vulnerable to exploitation by third party applications. Further, devices with Android 5.0 and above are protected, as the Android SELinux policy prevents third party applications from reaching the affected code.
> “Also, many devices running Android 4.4 and earlier do not contain the vulnerable code introduced in linux kernel 3.8, as those newer kernel versions [are] not common on older Android devices.”

http://www.theregister.co.uk/2016/01/21/no_that_linux_keyrin.../

if there is a way this vulnerability can be exploited
...
Google's already answered that question:
no Nexus devices are vulnerable to exploitation by third party applications. Further, devices with Android 5.0 and above are protected, as the Android SELinux policy prevents third party applications from reaching the affected code.

В Grsecurity класс таких уязвимостей был закрыт (сведен к DoS как максимум) посредством PAX_REFCOUNT несколько лет назад.