CVE-2016-2384: Tetszőleges kódfuttatás sebezhetőség a usb-midi Linux kernel driver-ben

 ( trey | 2016. február 22., hétfő - 10:39 )

A Google alkalmazásában álló Andrey "xairy" Konovalov egy blogbejegyzést tett ma közzé, amelyben egy, az usb-midi Linux kernel driverben levő, kihasználható double-free sebezhetőségről (CVE-2016-2384) ír. A sebezhetőség csak akkor van jelen a rendszerben, ha az usb-midi modul be van töltve, de a legtöbb modern disztribúciónál ez így van. A sebezhetőséget már javították az upstream-ben.

A sebezhetőséget DoS-ra és tetszőleges kódfuttatásra is ki lehet potenciálisan használni. A DoS-hoz fizikai hozzáférés szükséges (USB eszköz csatlakoztatásának lehetősége). A tetszőleges kódfuttatáshoz mind fizikai hozzáférésre (USB eszköz csatlakoztatásának lehetősége), illetve helyi (local) hozzáférésre (rosszindulatú bináris futtatása privilégiumokkal nem rendelkező felhasználóval).

Részletek, PoC exploitok itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Akkor most a Linuxon nevet a világ?

Persze, ha kicsit csöndben maradsz, hallhatod is az egyre erősödő kacajt.


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Várom Sting mindmeghallunk cikkét a témában.

+1

:)

Fájdalmas az olyan élet, amikor az ember örömét-bánatát a kedvenc OS-e határozza meg. Tavaszodik (legalábbis Grazban), ez sokkal lényegesebb egy még mindég fájó OSX-bug hegénél :-)

(Amúgy ja, ez is ciki. Bár a Linuxszal szemben nincsenek akkora elvárások.)

Furcsa, hogy alapból betöltik. Használnak még MIDI-t manapság?


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Szerintem kb csak azt használnak hangszerek számítógéphez csatlakoztatásához, vezérléséhez (szintetizátorok, dobgépek). Vagy ez nem az a midi?

Utoljára Atari ST alatt a nyolcvanas években foglalkoztam MIDI-vel, nem nagyon követem a jelenlegi technológia fejlődést ilyen vonalon, csak meglepő volt számomra, hogy még mindig van MIDI. Főként, mivel már akkor is probléma volt a késés több MIDI eszköznél, leginkább a MIDI thru átmenő adatoknál. De ezek szerint megoldották. :-)


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

De. Sőt, az újabb hangszereken már nagyon ritka a "hagyományos" MIDI csatlakozó.

Nálam nincs betöltve. (Xubi)

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

Nalam se, nincs binuxom xD

Nekem sincs betöltve (Debian 8).

Nem is igazán értettem ezt a cikkben: "...ha az usb-midi modul be van töltve, de a legtöbb modern disztribúciónál ez így van."
így van, HA van usb midi eszköz a gépre csatlakoztatva.
De a hivatkozott cikk nem is ezt írja, hanem: "The vulnerability is present only if the usb-midi module is enabled, but as far as I can see many modern distributions do this."
Azaz nem betöltve, hanem engedélyezve, vagyis létezik a modul, és nincs tiltva udev-nek, hogy betöltse - erre már igaz, hogy nagy valószínűség szerint így van. Innen már adódik is egy workaround, ha valahol kernelt valamilyen okból nem lehet frissíteni, le kell tiltani a modult.
Mondjuk én archon egy gyorskereséssel nem is találtam ilyen nevű modult (és utánanézve nem is ezen a néven kéne keresni, szóval ez se túl pontos a cikkben).