{"id":263201,"date":"2022-03-08T07:57:48","date_gmt":"2022-03-08T06:57:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263201"},"modified":"2023-03-03T09:56:15","modified_gmt":"2023-03-03T08:56:15","slug":"dirty-pipe-linux-schwachstelle-ermglicht-root-zugriff","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/08\/dirty-pipe-linux-schwachstelle-ermglicht-root-zugriff\/","title":{"rendered":"Dirty Pipe-Linux-Schwachstelle ermöglicht Root-Zugriff"},"content":{"rendered":"

[English<\/a>]In so gut wie allen Linux-Distributionen gibt es die als Dirty Pipe bezeichnete Linux-Schwachstelle CVE-2022-0847. Diese erm\u00f6glicht unprivilegierten Nutzern – ab dem Linux Kernel 5.8 und h\u00f6her – root-Rechte zu erlangen. Gef\u00e4hrdet sind Linux-Distributionen, IoT-Ger\u00e4te (und m\u00f6glicherweise auch Android-Systeme, falls dort bereits der Kernel 5.8 und h\u00f6her zum Einsatz kommt). Zu allem \u00dcberfluss ist inzwischen ein Exploit \u00f6ffentlich bekannt.<\/p>\n

<\/p>\n

Schwachstelle CVE-2022-0847 erm\u00f6glicht root<\/h2>\n

\"\"Der Entwickler Max Kellermann hat die Schwachstelle CVE-2022-0847<\/a> in diesem Beitrag<\/a> der IONOS-Tochter CM4All<\/a> offen gelegt (siehe auch diese IONOS-Meldung<\/a>). Die als Dirty Pipe bezeichnete Schwachstelle steckt ab Version 5.8 im Linux-Kernel und erm\u00f6glicht das \u00dcberschreiben von Daten in beliebigen schreibgesch\u00fctzten Dateien. Dies kann zu einer Privilegienerweiterung ausgenutzt werden, da unprivilegierte Prozesse Code in Root-Prozesse einschleusen k\u00f6nnen. Mitre beschreibt<\/a> die Schwachstelle (f\u00fcr Debian) so:<\/p>\n

A flaw was found in the way the \"flags\" member of the new pipe buffer structure was lacking proper initialization in copy_page_to_iter_pipe and push_pipe functions in the Linux kernel and could thus contain stale values. An unprivileged local user could use this flaw to write to pages in the page cache backed by read only files and as such escalate their privileges on the system. This flaw affects Linux kernel versions prior to 5.17-rc6.<\/p><\/blockquote>\n

Die Schwachstelle \u00e4hnelt laut Kellermann der als Dirty Cow bekannten und 2016 gefixten CVE-2016-5195, ist aber leichter auszunutzen. Die Sicherheitsl\u00fccke wurde in Linux 5.16.11, 5.15.25 und 5.10.102 behoben. Problem werden die Systeme im Bereich IoT-Ger\u00e4te und Android sein, die keine Updates des Linux-Kernels mehr erhalten.<\/p>\n

Entdeckung durch Zufall<\/h2>\n

Die Entdeckung erfolgte durch einen Zufall mit einem einem Support-Ticket \u00fcber besch\u00e4digte Dateien. Ein Kunde beschwerte sich, dass die im .gzip-Format heruntergeladenen Zugriffsprotokolle nicht dekomprimiert werden konnten. Bei der Analyse konnte eine besch\u00e4digte Protokolldatei auf einem der Protokollserver gefunden werden, die sich zwar dekomprimiert lie\u00df. Aber gzip meldete einen CRC-Fehler. Eine Erkl\u00e4rung f\u00fcr die Besch\u00e4digung gab es nicht.<\/p>\n

Als dieser CRC-Fehler Monate sp\u00e4ter wiederholt bei der Protokolldatei und anderen Dateien auftrat, begann Kellermann mit Nachforschungen. Dabei stie\u00df er auf die Schwachstelle im Linux-Kernel ab Version 5.8. Die Sicherheitsl\u00fccke CVE-2022-0847 tritt in der Pipe-Funktion auf, die f\u00fcr die unidirektionale Kommunikation zwischen Prozessen verwendet wird.<\/p>\n

Schwachstelle im Pipe-Mechanismus<\/h2>\n

Der Linux-Kernel implementiert dies durch einen Ring von struct pipe_buffer<\/em>, die jeweils auf eine Seite verweisen. Ein Ende dient dazu, Daten hineinzuschieben, das andere Ende kann diese Daten abrufen. Beim ersten Schreiben in eine Pipe wird eine Seite (mit max. Platz f\u00fcr 4 kB Daten) reserviert. Wenn der letzte Schreibvorgang die Seite nicht vollst\u00e4ndig f\u00fcllt, kann ein nachfolgender Schreibvorgang an die bestehende Seite angeh\u00e4ngt werden, anstatt eine neue Seite zuzuweisen. So funktionieren \"anonyme\" Pipe-Puffer (anon_pipe_buf_ops).<\/p>\n

Werden jedoch Daten per splice() aus einer Datei in die Pipe eingef\u00fcgt, l\u00e4dt der Kernel die Daten zun\u00e4chst in den Seiten-Cache. Dann erstellt er eine struct pipe_buffer-Struktur, die in den Seiten-Cache zeigt (Null-Kopie). Im Gegensatz zu anonymen Pipe-Puffern d\u00fcrfen zus\u00e4tzliche Daten, die in die Pipe geschrieben werden, nicht an eine solche Seite angeh\u00e4ngt werden, da die Seite dem Seiten-Cache geh\u00f6rt, nicht der Pipe. Diese Mechanismus erm\u00f6glicht es einem nicht privilegierten Benutzer \u00fcber die Dirty Pipe-Schwachstelle, Daten in schreibgesch\u00fctzte Dateien zu injizieren und zu \u00fcberschreiben, einschlie\u00dflich SUID-Prozesse, die als Root laufen.<\/p>\n

Fixes, Offenlegung und Proof of Concept<\/h2>\n

Das oben erw\u00e4hnte Support-Ticket nach einer Kundenbeschwerde \u00fcber kaputte .gz-Archive stammt vom 29. April 2021 – aber erst am 19. Februar 2022 konnte Kellermann die Schwachstelle im Linux-Kernel ausmachen. Am 20. Februar 2022 wurde das Linux Kernel-Sicherheitsteam informiert. Diese begannen mit der Entwicklung einer bereinigten Kernel-Version.<\/p>\n