logoCert_sugestao2.png

Falha de segurança no kernel linux - CVE-2012-0056

O CERT.Bahia gostaria de alertar a todos sobre uma importante falha de segurança no kernel Linux.

Uma falha na manipulação dos arquivos /proc/[pid]/mem, o que permite a um usuário comum possa se tornar root do sistema sem a necessidade de autenticação devida.

Sistemas afetados

De acordo com postagem da pessoal responsável por encontrar a falha (zx2c4), esta vulnerabilidade afeta as versões superiores a 2.6.39 do kernel Linux, mas a Red Hat já sinalizou que versões anteriores também podem estar vulneráveis.

A RedHat lançou um pequeno código que é possível verificar se seu sistema está vulnerável ou não.

Execute os passos abaixo:

$ wget "https://bugzilla.redhat.com/attachment.cgi?id=556461" -O test.c

$ gcc test.c -o test

$ ./test

Descrição

/proc/pid/mem é uma interface de leitura e escrita, diretamente, para processos de memória com um controle de acesso a escrita, que de acordo com as palavras de zx2c4 ficou bem pobre nas versões posteriores a 2.6.39 do kernel linux.

Para explorar a falha, basta utilizar o código correto para acessar uma área de memória de um processo com permissão de root, dessa forma o usuário comum se tornará root.

Impacto

Esta vulnerabilidade pode ser explorada por qualquer usuário, possibilitando que o mesmo se torne root da máquina sem autenticação devida.

Correções disponíveis

O próprio Linus Tolvards submeteu o patch para solucionar essa falha, reportada por zx2c4.

Recomenda-se a atualização do kernel linux em sua distribuição:

Para outras distribuições, consulte o respectivo responsável pela segurança.

Referências

-- RafaelGomes - 26 Jan 2012