转载

Linux ASLR漏洞:攻击者可无限禁用ASLR(CVE-2016-3672)

近日,安全人员修复了一个Linux ASLR中比较古老的漏洞,拥有x86设备上的32位应用程序使用权限的任何用户,通过将RLIMIT_STACK资源设置为“无限制”可以禁用ASLR。

该漏洞CVE编号为CVE-2016-3672,CNNVD编号为 CNNVD-201604-092 。

FreeBuf小科普:

aslr)是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。

检测

用户可以通过执行以下步骤检查其系统是否受到影响:

1 、创建显示内存映射的空项目: 

#include <stdio.h>  int main(int argc, const char *argv[]) {     char cmd[256];     sprintf(cmd, "cat /proc/%d/maps", getpid());     system(cmd);     return 0; }

2 、编译该程序: 

$ gcc show_maps.c -o show_maps        # In a i386 machine $ gcc show_maps.c -o show_maps -m32   # In a 64-bit machine

3 、运行该程序检查ASLR是否工作: 

$ for i in `seq 1 10`; do ./show_maps | grep "r-xp.*libc"; done f75c4000-f7769000 r-xp 00000000 08:01 784726     /lib32/libc-2.19.so f75db000-f7780000 r-xp 00000000 08:01 784726     /lib32/libc-2.19.so f7557000-f76fc000 r-xp 00000000 08:01 784726     /lib32/libc-2.19.so f7595000-f773a000 r-xp 00000000 08:01 784726     /lib32/libc-2.19.so f7574000-f7719000 r-xp 00000000 08:01 784726     /lib32/libc-2.19.so f75af000-f7754000 r-xp 00000000 08:01 784726     /lib32/libc-2.19.so f7530000-f76d5000 r-xp 00000000 08:01 784726     /lib32/libc-2.19.so f7529000-f76ce000 r-xp 00000000 08:01 784726     /lib32/libc-2.19.so f75c2000-f7767000 r-xp 00000000 08:01 784726     /lib32/libc-2.19.so f75fe000-f77a3000 r-xp 00000000 08:01 784726     /lib32/libc-2.19.so

如果ibc-2.19.so库文件映射到随机位置,说明 ASLR 正常工作。

那么将RLIMIT_STACK栈设置为“无限制”后运行相同的检测:

$ ulimit -a | grep stack stack size              (kbytes, -s) 8192 $ ulimit -s unlimited stack size              (kbytes, -s) unlimited $ for i in `seq 1 10`; do ./show_maps | grep "r-xp.*libc"; done 5559a000-5573f000 r-xp 00000000 08:01 784726      /lib32/libc-2.19.so 5559a000-5573f000 r-xp 00000000 08:01 784726      /lib32/libc-2.19.so 5559a000-5573f000 r-xp 00000000 08:01 784726      /lib32/libc-2.19.so 5559a000-5573f000 r-xp 00000000 08:01 784726      /lib32/libc-2.19.so 5559a000-5573f000 r-xp 00000000 08:01 784726      /lib32/libc-2.19.so 5559a000-5573f000 r-xp 00000000 08:01 784726      /lib32/libc-2.19.so 5559a000-5573f000 r-xp 00000000 08:01 784726      /lib32/libc-2.19.so 5559a000-5573f000 r-xp 00000000 08:01 784726      /lib32/libc-2.19.so 5559a000-5573f000 r-xp 00000000 08:01 784726      /lib32/libc-2.19.so 5559a000-5573f000 r-xp 00000000 08:01 784726      /lib32/libc-2.19.so

libc-2.19.so 库文件映射到了相同的位置,说明ASLR被禁用。

这是禁用ASLR的一种老方法,但不幸的是,当前的Linux系统中仍然存在该问题。

漏洞简介

该漏洞由于 栈大小设置为“无限制”时,ASLR Linux随机化所有的mmap基址。也就是说,当在i386和X86_64上使用legacy模式模拟X86_32时,程序只随机化栈和可执行文件,忽略了其他的mmapped文件(库文件,vDSO等),甚至在有些Linux版本中,可执行文件都不是随机化的。

mmap_legacy_base() 函数用来计算当栈大小设置为“无限制”时的库文件位置: 

static unsigned long mmap_legacy_base(void) {     if (mmap_is_ia32())         return TASK_UNMAPPED_BASE;     else         return TASK_UNMAPPED_BASE + mmap_rnd(); }

当系统运行在本地32位系统(i386)或32位模拟系统(x86_32)中时,该函数不会添加任何随机偏移。

漏洞利用

攻击者只需要将栈大小设置为“无限制”,然后运行一个32位应用程序,这种方法主要用于运行(攻击)提权应用,如setuid或setgid。

影响

拥有x86系统上32位应用运行权限的攻击者可以利用该漏洞禁用任意应用的 ASLR ,包括setuid和setgid程序。需要注意的是其实它本身并不算是一个漏洞,而是一种禁用ASLR的方式,攻击者可以将其与别的漏洞结合使用。由于i386(Intel 80386)的使用率比较高,受影响的系统和用户仍然十分广泛。

修复

该漏洞的补丁如下:

diff --git a/arch/x86/mm/mmap.c b/arch/x86/mm/mmap.c index 96bd1e2..389939f 100644 --- a/arch/x86/mm/mmap.c +++ b/arch/x86/mm/mmap.c @@ -94,18 +94,6 @@ static unsigned long mmap_base(unsigned long rnd)  }    /* - * Bottom-up (legacy) layout on X86_32 did not support randomization, X86_64 - * does, but not when emulating X86_32 - */ -static unsigned long mmap_legacy_base(unsigned long rnd) -{ -   if (mmap_is_ia32()) -       return TASK_UNMAPPED_BASE; -   else -       return TASK_UNMAPPED_BASE + rnd; -} - -/*   * This function, called very early during the creation of a new   * process VM image, sets up which VM layout function to use:   */ @@ -116,7 +104,7 @@ void arch_pick_mmap_layout(struct mm_struct *mm)     if (current->flags & PF_RANDOMIZE)         random_factor = arch_mmap_rnd();   -   mm->mmap_legacy_base = mmap_legacy_base(random_factor); +   mm->mmap_legacy_base = TASK_UNMAPPED_BASE + random_factor;       if (mmap_is_legacy()) {         mm->mmap_base = mm->mmap_legacy_base;

该补丁启用了legacy模式下的i386和X86_32上的库文件、vDSO和mmap请求的随机化,并将在下一个 Linux版本 中修复该问题。

* 原文地址: hmarco ,vul_wish编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文  http://www.freebuf.com/vuls/101169.html
正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:604 人
  • 运行天数:4,408天
  • 最后更新:2024年11月21日19点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG