Eine Schwachstelle im dynamischen Linker der freien Programmbibliothek glibc kann von lokalen Angreifern ausgenutzt werden, um Administratorrechte zu erlangen. Um die Lücke ausnutzen zu können, muss der Angreifer in der Lage sein, einen Hardlink auf ein Setuid Programm zu erstellen (zum Beispiel "ping"); er benötigt dazu Schreibrechte auf derselben Partition.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Nicht betroffene Systeme
• Plattform
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID
• Weitere Information zu diesem Thema

Zusammenfassung

• CVE-2010-3847:
  

  Betroffen:	(e)glibc 2.11.2 und frühere Versionen
  Nicht betroffen:	Distributionsspezifisch aktualisierte Versionen
  Plattform:	GNU/Linux diverse Unixoide
  Einfallstor:	Hardlink auf Setuid Programme
  Angriffsvoraussetzung:	Berechtigungsnachweis
  Angriffsvektorklasse:	local
  Auswirkung:	system compromise
  Typ:	Implementierungsfehler
  Gefahrenpotential:	hoch
  Workaround:	ja
  Gegenmaßnahmen:	neue Version
  Vulnerability ID:	CVE-2010-3847

Betroffene Systeme

• glibc 2.11.2 und frühere Versionen
• eglibc 2.12 und frühere Versionen

Nicht betroffene Systeme

• Distributionsspezifisch aktualisierte Pakete der glibc

Plattform

• GNU/Linux
• Unixoide Betriebssysteme

Einfallstor

• Setzen eines Hardlinks auf Setuid Programme

Angriffsvoraussetzung

• Berechtigungsnachweis; Ein lokaler Benutzer mit Schreibzugriff auf einen Mountpoint, der nicht mit der Option "nosuid" montiert wurde und der ein Setuid Programm enthält, das dem Zielbenutzer (typischerweise also "root") gehört.
  (user credentials

Angriffsvektorklasse

• lokal auf einem betroffenen System
  (local)

Auswirkung

• Ausführung beliebigen Programmcodes mit administrativen Privilegien
  (system compromise)

Typ der Verwundbarkeit

• Implementierungsfehler
  (implementation flaw)

Gefahrenpotential

• hoch

Beschreibung

Eine Schwachstelle im dynamischen Linker der Programmbibliothek glibc kann von lokalen Angreifern ausgenutzt werden, um Administratorrechte zu erlangen.
Um die Lücke ausnutzen zu können, muss der Angreifer in der Lage sein, einen Hardlink auf ein Setuid Programm zu erstellen (zum Beispiel "ping"); er benötigt dazu Schreibrechte auf derselben Partition.
Er kann dann beliebigen Code mit den Privilegien des Benutzers ausführen, dem das Setuid Programm gehört.
Typischerweise gehöhren Setuid Programme dem administrativen Benutzer root; dann führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Workaround

• Entfernung der Schreibrechte für nichtadministrative Benutzer auf Einhängepunkte ohne "nosuid"
  Dies kann z.B. mit bind mounts verhindert werden. Dazu sind als Benutzer root die folgenden Befehle über eine shell einzugeben:

  # mount -o bind,nosuid /tmp /tmp
  # mount -o bind,nosuid /var/tmp /var/tmp
  

Gegenmaßnahmen

• Installation einer neuen Version, sobald verfügbar
• Installation entsprechend aktualisierter Pakete der verschiedenen Linux-Distributoren, sobald diese verfügbar sind
• Installation von Patches der verschiedenen Linux-Distributoren, soweit diese verfügbar sind:
  • Fedora
  • Red Hat (Patch)
  (Liste unvollständig)
• Installation entsprechend aktualisierter Pakete oder Patches für diverse Unixoide Betriebsysteme, soweit verfügbar:
  • BSD

Vulnerability ID

• CVE-2010-3847

Weitere Information zu diesem Thema

• glibc Definition

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/