Раскрыты (http://seclists.org/fulldisclosure/2016/Jan/28) подробности эксплуатации уязвимости (http://www.halfdog.net/Security/2015/UserNamespaceOverlayfsS.../) (CVE-2015-8660) в ядре Linux, позволяющей непривилегированному локальному пользователю получить права root. Уязвимость вызвана недоработкой в коде установки прав доступа в файловой системе OverlayFS, проявляющейся при использовании пространств имён для идентификаторов пользователей (user namespaces (http://man7.org/linux/man-pages/man7/user_namespaces.7.html)).

Суть проблемы в том, что пользователь может при помощи технологии "user namespaces" создать изолированное окружение со своим пользователем root и примонтировать в нём часть внешней ФС через OverlayFS. Из-за ошибки в OverlayFS при изменении прав доступа в изолированном окружении, изменения также остаются в связанной с OverlayFS директории для хранения изменений (например, директория для изменений может быть создана в tmpfs и остаётся доступна извне, также доступа к ФС изолированного окружения можно получить через /proc). Таким образом, в изолированном окружении можно  создать исполняемый файл с флагом suid и выполнить его вне изолированного окружения. Для тестирования подготовлен прототип эксплоита (http://www.halfdog.net/Security/2015/UserNamespaceOverlayfsS...).

Вызвавшая уязвимость ошибка была устранена (https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux....) в ядре Linux в начале декабря и вошла в состав релиза ядра 4.4, но детальная информация об уязвимости обнародована только сейчас. Проблема проявляется начиная с ядра 3.18, поэтому не касается штатных ядер дистрибутивов RHEL/CentOS (https://bugzilla.redhat.com/show_bug.cgi?id=1291329) и Debian (https://security-tracker.debian.org/tracker/CVE-2015-8660). Проблема затрагивает (http://people.canonical.com/~ubuntu-security/cve/2015/CVE-20...) выпуски Ubuntu 15.10 (http://www.ubuntu.com/usn/usn-2858-1/) и Fedora 23 (https://bodhi.fedoraproject.org/updates/FEDORA-2016-6ce812a1e0), но уже устранена в выпущенных несколько дней назад обновлениях пакетов с ядром.

Следует отметить, что так как многие старые подсистемы ядра написаны без оглядки на возможности User Namespace, не исключается наличие ещё не выявленных похожих уязвимостей. Например, кроме  OverlayFS подобные проблемы уже найдены (https://lkml.org/lkml/2015/12/25/71) в ptrace (https://bugzilla.redhat.com/show_bug.cgi?id=1295287) (CVE-2015-8709).  В качестве обходного пути защиты рекомендуется отключить поддержку User Namespace в ядре (CONFIG_USER_NS=n). Проверить включена ли поддержка User Namespace можно командой "ls /proc/self/ns|grep user".

URL: http://seclists.org/fulldisclosure/2016/Jan/28
Новость: http://www.opennet.me/opennews/art.shtml?num=43659