The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в tuned, позволяющая выполнить код с правами root

28.11.2024 17:13

В развиваемом компанией Red Hat фоновом процессе tuned, выполняющем автоматическую оптимизацию настроек оборудования и ядра в зависимости от текущей нагрузки, выявлена уязвимость (CVE-2024-52336), позволяющая локальному непривилегированному пользователю выполнить любые команды с правами root.

Проблема присутствует в реализации DBus-метода "com.redhat.tuned.instance_create", применяемого для создания экземпляров плагинов, в который можно передать параметры "script_pre" и "script_post" для указания скриптов, выполняемых перед или после создания экземпляра плагина. Проблема в том, что настройки Polkit позволяют любому вошедшему в систему локальному пользователю без аутентификации отправить DBus-запрос к данному методу, в то время как сам процесс tuned выполняется с правами root и запускает отмеченные в параметрах "script_pre" и "script_post" скрипты тоже с правами root. Например, для запуска скрипта /path/to/myscript.sh с правами root пользователю достаточно выполнить команду:


   gdbus call -y -d com.redhat.tuned -o /Tuned \
        -m com.redhat.tuned.control.instance_create cpu myinstance \
        '{"script_pre": "/path/to/myscript.sh", "devices": "*"}'

В DBus-методе "com.redhat.tuned.instance_create" также присутствует менее опасная уязвимость (CVE-2024-52337), вызванная отсутствием чистки значения с именем экземпляра плагина при его выводе в лог. Атакующий может добавить имя, содержащее перевод строки и escape-символы для эмулятора терминала, которые могут использоваться для нарушения структуры лога и выполнения действий при отображении вывода команды "tuned-adm get_instances" в терминале.


    EVIL=`echo -e "this is\nevil\033[?1047h"`
    gdbus call -y -d com.redhat.tuned -o /Tuned -m com.redhat.tuned.control.instance_create cpu "$EVIL" '{"devices": "*"}'

Уязвимости проявляются начиная с версии tuned 2.23, сформированной в начале июня 2024 года, и устранены в выпуске tuned 2.24.1. Из крупных дистрибутивов проблемы исправлены в RHEL 9, Fedora 40, Arch Linux и Gentoo. В стабильных ветках Ubuntu, Debian и SUSE/openSUSE уязвимости не проявляются, так как в них поставляются старые версии tuned (<2.23), не подверженные уязвимостям.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Критическая уязвимость в PolKit, позволяющая получить root-доступ в большинстве дистрибутивов Linux
  3. OpenNews: Уязвимость в glibc, позволяющая получить root-доступ в системе
  4. OpenNews: Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc
  5. OpenNews: Уязвимость в pam_oath, позволяющая получить права root в системе
  6. OpenNews: Уязвимость в Polkit, позволяющая повысить свои привилегии в системе
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62307-tuned
Ключевые слова: tuned
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Мухорчатый (?), 17:55, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    У кого tuned включен, скажите - есть от него толк?
     
     
  • 2.3, Аноним (3), 18:02, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    От scx_bpfland и ananicy импакт очень ощущается, про существование автотюнинга sysctl узнал только что.
     
     
  • 3.15, Аноним (15), 19:00, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > От scx_bpfland и ananicy импакт очень ощущается, про существование автотюнинга
    > sysctl узнал только что.

    Во, ставь эту штуку :). Желательно необновленную конечн - и доступ по ssh вывеси, будь мужиком, запили CTF сервер, во! :)

     
     
  • 4.22, Аноним (22), 19:45, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сам будь мужиком, попробуй в систему без пароля рута проникнуть.
     
     
  • 5.25, Аноним (-), 20:55, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Сам будь мужиком, попробуй в систему без пароля рута проникнуть.

    Так я и не просил пароль рута, сабжа как раз вполне хватит и без него, так что системный тюнинг в подарок :)

     
     
  • 6.30, Аноним (22), 21:43, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сабжа не хватит для удаленной эксплуатации. Как ты локальный доступ по ssh получил?
     
  • 4.43, Хехмда (?), 15:02, 29/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я поставил. С профилем лоу летенси нетворк пинги действительно уменьшаются больше чем на порядок, локальные и до вертуалок превращаются в 5-7мкс вместо 70-100мкс.
     
  • 2.5, Ivan (??), 18:06, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не знаю делает ли он что-нибудь сам по себе, но я на ноуте использую tuned-ppd чтобы управлять режимами энергосбережения из гнома
     
  • 2.39, freebzzZZZzzd (ok), 08:50, 29/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >У кого tuned включен, скажите - есть от него толк?

    если пароль рута забыл, то есть толк ) эффект подсчитать сложно, когда нагрузка неровная.

    в целом, очередной пруф что не зря я сижу на OL8 до сих пор.

     
     
  • 3.49, Аноним (49), 03:05, 30/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я боюсь тебе рассказать про кровавый Ынтырпрайз на Cent7.
     

  • 1.2, Аноним (2), 17:57, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Новые уязвимости в продуктах редхат, не удивлен честно говоря...
     
  • 1.11, Шарп (ok), 18:28, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Какая-то детская дыра. Просто создали dbus-ручку для запуска скриптов из под root'а. Архитектора на мыло.
     
     
  • 2.14, Аноним (15), 18:59, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Какая-то детская дыра. Просто создали dbus-ручку для запуска скриптов
    > из под root'а. Архитектора на мыло.

    Судя по гитхабу - это лабуда написаная на пиотне какими-то джунами. Архитект - слишком громкое слово для вот этого всего.

     
  • 2.16, Аноним (16), 19:10, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как можно запускать сторонний код под root'ом?
     
     
  • 3.17, Аноним (16), 19:16, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Неплохо было бы, чтобы прилагался манифест безопасности по листу systemd-analyze security.
    Какие caps нужны?
     
  • 3.46, Аноним (-), 17:31, 29/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Как можно запускать сторонний код под root'ом?

    Ну, как, теперь любой пользак может - вот - вызвать gdbus и выполнить все что пожелает. Заметьте, какая оптимизация! Теперь su и sudo нафиг не нужны - и можно вообще без пароля логинииться под рутом. Сплошные бонусы.

     
  • 2.23, Аноним (22), 19:52, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тоже можно сказать про run0, systemd-run, pkexec и прочие "безопасные технологии" редхаты. Главное, что от "небезопасного", чужого, а также - неприятельски-неподконтрольного, sudo в дистрибутивах избавляются, а в своих дебусоподелках черные дырени, размерами с галактику, не видят.
     
  • 2.32, Аноним (32), 22:21, 28/11/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     

  • 1.13, Аноним (15), 18:58, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В развиваемом компанией Red Hat фоновом процессе tuned, выполняющем
    > автоматическую оптимизацию настроек оборудования и ядра в зависимости
    > от текущей нагрузки

    Отличная между прочим оптимизация, я всячески одобряю :). Пожалуйста не забывайте ставить продукцию супернужных питонистов от редхата :)

     
  • 1.21, Аноним (-), 19:45, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот и попались! Недавно на системе с арчем отвалился стандартный power-profiles-daemon, почитав, узнал что он уже не поддерживается и желательно поставить новую разработку от красной шапочки под названием tuned, которая еще и удобно обратно-совместима с предыдущей. Сразу удивился c количества новых фич и задумался о реализации всего этого добра, а вот оно и полезло! Опять рептилоиды-иллюминаты и агентства на три буквы лезут ко мне на локалхост!
     
     
  • 2.27, Лутшый в мире линупс (?), 20:58, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Недавно на системе с арчем отвалился стандартный power-profiles-daemon, почитав, узнал что он уже не поддерживается и желательно поставить новую разработку

    Так в этом весь линoops. Хорошая иллюстрация для тех, кто рассказывает про то, что оно уже якобы готово для десктопа :-)

     
     
  • 3.31, Аноним (22), 21:45, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня не отвалился. ЧЯДНТ?
     

  • 1.24, пух (??), 20:39, 28/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    DBUS пора в ядро в виде KDBUS. Хоть аудит пройдет нормально.
     
     
  • 2.28, Аноним (28), 20:59, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ушедшему работать в M$, Торвальдс когда-то показал палец на такое предложение.
     
  • 2.29, Лутшый в мире линупс (?), 21:06, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ядро итак превратилось в свалку. ИМХО, абсолютно тупиковый путь, полностью противоречащий концепции микроядер.
     
     
  • 3.34, Минона (ok), 23:05, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Линукс никогда не следовал этой концепции.
     
  • 2.33, Семен (??), 22:47, 28/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так он нахер не сдался никому в ядре, kdbus будет тормозить ядро из-за лишних syscall, dbus сам по себе не оптимальный протокол по производительности с определенными архитектурными проблемами, нехватало еще, чтобы его в ядро впихнули, как критическую службу, которая будет отжирать ядерное процессорное время и вытеснять процессы. Все только проиграют от этого. Нужная нормальная и более производительная альтернатива dbus. И баг сам по себе не в DBUS, а в tuned. DBUS это лишь служба сообщений ни больше не меньше, со своими подписчиками и отправителями, слушатели подписываются на определенные сообщения и обрабатывают их, а отправитель может отправлять определенные типы сообщения. Тот же polkit агент во всех DE использует dbus для связи с polkit для повышения привилегий. Мне собственно все эти polkit и rtkit не нравятся, я их первым делом удаляю, и пересобираю компоненты зависящие от них, и ничего не запускают от обычного пользователя с правами root. Благо sway позволяет выкинуть весь этот хлам. Тому же pipewire не нужен rtkit, и он может быть собран без него, и нужные приоритеты процесса может через systemd получить. Меня вообще раздражает сам факт, что популярные дистрибутивы и DE начали запускать десятки не нужных мне служб, когда можно оставить только парочку и удалить не нужные компоненты и сделать систему более безопасной. Раньше всего этого не было, но последние годы это приобрело какой-то нездоровый характер, что разработчики дистрибутива хотят впихнуть все для малограмотных юзеров, и сделать вторую венду с управлением через ГУЙ.
     
     
  • 3.36, Аноним (36), 00:35, 29/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да он в юзерспейсе-то не тормозит.
     
  • 3.41, Аноним (41), 10:40, 29/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > популярные дистрибутивы и DE начали запускать

    Всегда так было, всякие индексаторы оптимизаторы и прочая, сам X кривокосой и состоит из сплошных костылей, наличие ГУИ меняет поведение системы, логику меняет, например, некоторые демоны запускаются по систем-д, но после установки графики их запускает ДЕ, и в систем-д их можно включать или отключать, не влияет никак. Конечно, можно заморачиваться пересобиранием, но зачем? отследить все не получится, проще утащить данные на отдельную систему - предсказуемую и подконтрольную, и подключаться с десктопа, ноута или телефона, и если гуи сломается, взломается, взбесится и объявит человекам войну, ну пусть, переустановить и ладушки.

     
  • 3.42, InuYasha (??), 12:12, 29/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Мне достаточно того что и в userspace DBUS может повесить всё на свете. На десктопе его убивал спектакль, на серверах - забыл что (может БД какая-то). В обоих случаях это неприемлемо. А на ноуте, когда резко ЦПУ уходит в 100% и ты не можешь сохранить документы, вообще опасно.
     
     
  • 4.44, Аноним (36), 16:10, 29/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну там, где фодора-редхат-системд да, наворотили, сам видел. У меня в gentoo живет dbus спокойно.
     

  • 1.48, Аноним (48), 21:36, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я всегда убивал dbus на всех системах. Теперь понятно что не зря.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру