今天就跟大家聊聊有關(guān)如何進(jìn)行Linux內(nèi)核本地提權(quán)漏洞預(yù)警分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

創(chuàng)新互聯(lián)公司是一家專(zhuān)業(yè)提供和順企業(yè)網(wǎng)站建設(shè),專(zhuān)注與成都網(wǎng)站建設(shè)、成都做網(wǎng)站、成都h5網(wǎng)站建設(shè)、小程序制作等業(yè)務(wù)。10年已為和順眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。

一、漏洞背景

近日，Linux git中發(fā)布一個(gè)commit補(bǔ)丁，該補(bǔ)丁對(duì)應(yīng)的漏洞是一個(gè)本地提權(quán)漏洞CVE-2019-8912，漏洞影響范圍較廣。根據(jù)git中的commit信息可知，該漏洞出現(xiàn)在內(nèi)核'crypto/af_alg.c'中的af_alg_release函數(shù)中，可以通過(guò)sockfs_setattr函數(shù)觸發(fā)，漏洞類(lèi)型是use after free，可以導(dǎo)致本地代碼執(zhí)行進(jìn)行權(quán)限提升。

二、漏洞影響版本

Linux 2 .6 ~ linux 4.20.11Red Hat Enterprise Linux 7，Package： kernel-altDebian，Release：Jessie，Version：3.16.56-1+deb8u1Debian，Release：Jessie (security)，Version：3.16.56-1Debian，Release：stretch，Version：4.9.144-3Debian，Release：stretch (security)，Version：4.9.110-3+deb9u6Debian，Release：buster，Version：4.19.16-1Debian，Release：sid，Version：4.19.20-1

三、Linux Crypto模塊簡(jiǎn)介

Linux內(nèi)核從版本2.5開(kāi)始引入了加密機(jī)制，為內(nèi)核提供加密功能，應(yīng)用包括：硬件加密設(shè)備驅(qū)動(dòng)、內(nèi)核代碼簽名、硬件隨機(jī)數(shù)生成器、文件系統(tǒng)加密等。從版本2.6.6之后，內(nèi)核源碼提供了豐富的密碼學(xué)算法支持，并可以通過(guò)配置編譯選項(xiàng)將加密算法作為模塊編入內(nèi)核。內(nèi)核編譯配置如下圖所示：

但是該加密功能提供的API接口只能在內(nèi)核層進(jìn)行使用，用戶(hù)層無(wú)法調(diào)用。2010年，有位維護(hù)者向Linux Crypto維護(hù)組提交了一份CrypatoAPI 用戶(hù)接口，類(lèi)似于netlink，基于socket進(jìn)行通信，便于用戶(hù)層訪問(wèn)內(nèi)核加密子系統(tǒng)。功能實(shí)現(xiàn)代碼在文件crypto/af_alg.c中。

四、漏洞原理及溯源

漏洞存在于crypto 模塊中的af_alg_release()函數(shù)中。af_alg_release()函數(shù)在進(jìn)行對(duì)象釋放時(shí)，未將對(duì)象置空。對(duì)應(yīng)commit：9060cb719e61b685ec0102574e10337fa5f445ea補(bǔ)丁代碼如下，補(bǔ)丁添加了一行代碼：sock->sk = NULL; 。

在未添加補(bǔ)丁之前，如果該sock->sk引用計(jì)數(shù)是1，當(dāng)調(diào)用sock_put()進(jìn)行釋放后沒(méi)有置空，就直接返回，會(huì)產(chǎn)生一個(gè)sock->sk懸掛指針。

為了分析這個(gè)漏洞的前因后果，先分析下相關(guān)的socket代碼。對(duì)每個(gè)新創(chuàng)建的socket，Linux內(nèi)核都將在sockfs中創(chuàng)建一個(gè)新的inode。Sockfs_*系列函數(shù)就是用來(lái)操作sockfs文件系統(tǒng)的。Sockfs_setattr()函數(shù)就是設(shè)置socket文件屬性的。在net/socket.c文件中sockfs_setattr()函數(shù)將會(huì)使用sock->sk對(duì)象。

根據(jù)提交的commit：9060cb719e61b685ec0102574e10337fa5f445ea細(xì)節(jié)可知，在該漏洞披露之前，Linux已經(jīng)修復(fù)了sock_close()和sockfs_setattr()之間的條件競(jìng)爭(zhēng)漏洞，對(duì)應(yīng)commit為6d8c50dcb029872b298eea68cc6209c866fd3e14，具體先看下sockfs_setattr()函數(shù)中的補(bǔ)丁。補(bǔ)丁代碼如下：

行544，首先判斷sock->sk是否為空，如果不為空，行545再將用戶(hù)層傳進(jìn)來(lái)的iattr->ia_uid賦值為sock->sk->sk_uid。然后看sock_close ()函數(shù)中的補(bǔ)丁。補(bǔ)丁代碼如下：

行1186，替換成了新函數(shù)__sock_release()，該函數(shù)多了一個(gè)參數(shù)inode。__sock_release()函數(shù)實(shí)現(xiàn)如下：

行601，對(duì)inode進(jìn)行判斷，如果不為空，然后調(diào)用inode_lock()函數(shù)對(duì)其進(jìn)行上鎖。其實(shí)該inode本身和要進(jìn)行釋放的socket對(duì)象是對(duì)應(yīng)的。行603，調(diào)用ops中release()函數(shù)進(jìn)行釋放操作。這個(gè)ops中release()函數(shù)只是一個(gè)函數(shù)指針，最終會(huì)根據(jù)用戶(hù)注冊(cè)哪種套接字類(lèi)型決定。行604，再次判斷inode是否為空，如果不為空，再進(jìn)行解鎖。通過(guò)對(duì)inode加鎖，防止在對(duì)socket對(duì)象釋放時(shí)進(jìn)行其他操作。

從commit：6d8c50dcb029872b298eea68cc6209c866fd3e14提供的細(xì)節(jié)可知，sock_close()函數(shù)和sockfs_setattr()函數(shù)之間的條件競(jìng)爭(zhēng)可以通過(guò)用戶(hù)層fchownat()函數(shù)引發(fā)。根據(jù)man手冊(cè)可知，該函數(shù)是用于設(shè)置文件屬性的，例如uid和gid，在內(nèi)核中對(duì)應(yīng)的sockfs_setattr()函數(shù)，如下圖所示：

細(xì)節(jié)中描述，該函數(shù)不會(huì)保持文件fd的引用計(jì)數(shù)，這也是導(dǎo)致存在條件競(jìng)爭(zhēng)的原因。根據(jù)前文可知，sockfs_setattr()函數(shù)其實(shí)就是設(shè)置UID才操作sock->sk對(duì)象的。

如果再繼續(xù)向前追溯的話(huà)，從commit：86741ec25462e4c8cdce6df2f41ead05568c7d5e提供的細(xì)節(jié)可知UID的來(lái)龍去脈。該補(bǔ)丁提交于2016年。由于socket 協(xié)議中的結(jié)構(gòu)體structsock在大多時(shí)候都是和用戶(hù)層的sockets一一映射的，sockets對(duì)應(yīng)的內(nèi)核結(jié)構(gòu)體為structsocket?？紤]到方便操作，便通過(guò)向struct sock添加一個(gè)sk_uid字段來(lái)簡(jiǎn)化對(duì)struct socket中的UID的匹配，也因此添加了一個(gè)關(guān)鍵函數(shù)。如下圖所示：

由此可知，本來(lái)存在于sock_close()和sockfs_setattr之間的條件競(jìng)爭(zhēng)已經(jīng)被修復(fù)，由于crypto/af_alg.c中af_alg_release()函數(shù)沒(méi)有將釋放后的sock->sk及時(shí)置空，導(dǎo)致前面所做的安全補(bǔ)丁全部失效。

五、安全建議

目前該漏洞補(bǔ)丁已經(jīng)給出，請(qǐng)及時(shí)升級(jí)到最新版本。

https://github.com/torvalds/linux/commit/9060cb719e61b685ec0102574e10337fa5f445ea

看完上述內(nèi)容，你們對(duì)如何進(jìn)行Linux內(nèi)核本地提權(quán)漏洞預(yù)警分析有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。