muru Asked: 2017-06-20 17:39:39 +0800 CST2017-06-20 17:39:39 +0800 CST 2017-06-20 17:39:39 +0800 CST 什么是 Stack Clash,我能做些什么? 772 我听说过一个名为 Stack Clash 的新漏洞,它显然会影响多个类 Unix 系统(不仅仅是 Linux,还有 BSD、Solaris)。 它是什么?多操作系统错误是如何发生的? 如何保护我的系统? security 2 个回答 Voted Best Answer muru 2017-06-20T17:45:15+08:002017-06-20T17:45:15+08:00 Stack Clash 是一种基于相当古老技术的漏洞利用。进程使用的内存分为两个区域——堆栈和堆。人们通常认为堆栈向下增长,堆向上增长。当其中一方成长到足以与另一方发生冲突时会发生什么?更一般地说,当堆栈增长到足以侵占不相关的内存空间时会发生什么?最初的漏洞存在 12 年,Linux 内核开发人员通过使用保护页临时修复了它。然而,尽管有保护页,Qualys 的研究人员还是设法利用了这一点。 Ars Technica 报告: Stack Clash 漏洞已经慢慢获得了广泛的认识,首先是在 2005 年安全研究员 Gaël Delalleau 的发现,五年后研究员 Rafal Wojtczuk发布了一个 Linux 漏洞。Linux 开发人员 引入了一种旨在防止堆栈冲突的保护措施,但今天的研究表明,攻击者相对容易绕过该措施。 Qualys 开发的主要概念验证攻击利用了索引为 CVE-2017-1000364 的漏洞。Qualys 研究人员还开发了使用 Stack Clash 来利用不同漏洞的攻击,包括 CVE-2017-1000365 和 CVE-2017-1000367。例如,当与 Qualys 发现的最近修复的 Sudo 漏洞 CVE-2017-1000367 结合使用时,本地用户可以利用 Sudo 在更广泛的操作系统上获得完全的 root 权限。Qualys 至今无法让这些漏洞远程执行代码。他们调查的唯一远程应用程序是 Exim 邮件服务器,巧合的是,它被证明是无法利用的。Qualys 表示,不能排除存在这种远程代码执行漏洞的可能性。Qualys 表示将在稍后发布概念验证漏洞, [...] Qualys 的详细技术咨询和grsecurity 的技术分析中提供了更多信息。 引用关于 2010 年原始修复的 LWN 文章: 因为 Linux 不分离进程堆栈和堆页面,所以将堆栈页面溢出到相邻的堆页面是可能的。这意味着足够深的堆栈(例如来自递归调用)最终可能会使用堆中的内存。可以写入该堆页面的程序(例如 X 客户端)然后可以操纵其中一个调用的返回地址以跳转到它选择的位置。这意味着客户端可以使服务器运行它选择的代码——任意代码执行——这可以用来获得 root 权限。 以上描述适用于各种类 Unix 内核。 虽然 Ars Technica 确实注意到 Qualys 报告中提到的临时解决方法(“将 本地用户 和 远程服务 的 硬 RLIMIT STACK 和 RLIMIT_AS设置 为低值”),但应该注意的是,这不一定能防止这种利用。目前唯一安全的出路是升级。根据grsecurity分析: 应该清楚的是,仅内核尝试解决这个问题总是不完整的,因为真正的问题在于缺乏堆栈探测。由于替代的真正解决方案取决于重建所有用户空间,因此在可预见的未来,这可能是唯一可行的解决方案。 我们现在能做的最好的事情就是将内核升级到一个补丁版本。 2010 年的漏洞利用 X 服务器,这个利用 sudo,下一个可能是大量用户空间程序中的任何一个,在某些时候,这些程序在提升的权限下运行。 Qualys 尚未发布任何用于漏洞利用的概念验证代码(他们计划在以后发布)。 有多个与 CVE-2017-1000364 相关的 Ubuntu 安全通知: USN-3324-1(更新) USN-3325-1 - 树莓派 2(更新) USN-3326-1 USN-3327-1 - 树莓派 2 USN-3328-1 USN-3329-1 USN-3330-1 - 高通骁龙 USN-3331-1 - AWS USN-3332-1 - 树莓派 2 USN-3333-1 - HWE USN-3334-1 - Xenial HWE USN-3335-1 USN-3335-2 - 12.04 ESM USN-3338-1 - 12.04 ESM 另请注意,CVE 跟踪器列出了几个版本/内核组合作为待定修复。 通常,最简单的修复方法是尽快将您的系统更新到最新的内核包。 来自 USN 的相关内核版本(使用 剔除for i in {24..35}; curl -s https://www.ubuntu.com/usn/usn-33$i-1/ | pup 'dl:nth-last-of-type(1)'): Ubuntu 17.04: linux-image-4.10.0-24-lowlatency 4.10.0-24.28 linux-image-generic-lpae 4.10.0.24.26 linux-image-generic 4.10.0.24.26 linux-image-4.10.0-24-generic-lpae 4.10.0-24.28 linux-image-4.10.0-24-通用 4.10.0-24.28 linux-image-lowlatency 4.10.0.24.26 Ubuntu 17.04: linux-image-4.10.0-1008-raspi2 4.10.0-1008.11 linux-image-raspi2 4.10.0.1008.10 Ubuntu 16.10: linux-image-powerpc-smp 4.8.0.56.69 linux-image-powerpc-e500mc 4.8.0.56.69 linux-image-4.8.0-56-powerpc-smp 4.8.0-56.61 linux-image-4.8.0-56-powerpc-e500mc 4.8.0-56.61 linux-image-4.8.0-56-lowlatency 4.8.0-56.61 linux-image-generic 4.8.0.56.69 linux-image-4.8.0-56-通用 4.8.0-56.61 linux-image-powerpc64-emb 4.8.0.56.69 linux-image-virtual 4.8.0.56.69 linux-image-powerpc64-smp 4.8.0.56.69 linux-image-4.8.0-56-generic-lpae 4.8.0-56.61 linux-image-generic-lpae 4.8.0.56.69 linux-image-lowlatency 4.8.0.56.69 linux-image-4.8.0-56-powerpc64-emb 4.8.0-56.61 Ubuntu 16.10: linux-image-4.8.0-1040-raspi2 4.8.0-1040.44 linux-image-raspi2 4.8.0.1040.44 Ubuntu 16.04 LTS: linux-image-powerpc64-smp-lts-utopic 4.4.0.81.87 linux-image-generic-lts- wily 4.4.0.81.87 linux-image-generic-lts-utopic 4.4.0.81.87 linux-image-4.4.0-81-generic-lpae 4.4.0-81.104 linux-image-powerpc64-emb-lts-vivid 4.4.0.81.87 linux-image-powerpc-e500mc 4.4.0.81.87 linux-image-generic-lpae-lts-xenial 4.4.0.81.87 linux-image-generic-lpae-lts-utopic 4.4.0.81.87 linux-image-powerpc-e500mc-lts-xenial 4.4.0.81.87 linux-image-4.4.0-81-powerpc64-emb 4.4.0-81.104 linux-image-powerpc-e500mc-lts- wily 4.4.0.81.87 linux-image-4.4.0-81-powerpc-e500mc 4.4.0-81.104 linux-image-generic-lpae-lts- wily 4.4.0.81.87 linux-image-virtual-lts-vivid 4.4.0.81.87 linux-image-virtual-lts-utopic 4.4.0.81.87 linux-image-virtual 4.4.0.81.87 linux-image-powerpc64-emb-lts- wily 4.4.0.81.87 linux-image-lowlatency-lts-vivid 4.4.0.81.87 linux-image-powerpc-e500mc-lts-vivid 4.4.0.81.87 linux-image-powerpc64-emb 4.4.0.81.87 linux-image-powerpc-smp-lts-xenial 4.4.0.81.87 linux-image-4.4.0-81-通用 4.4.0-81.104 linux-image-powerpc64-smp-lts-vivid 4.4.0.81.87 linux-image-lowlatency-lts- wily 4.4.0.81.87 linux-image-4.4.0-81-lowlatency 4.4.0-81.104 linux-image-generic 4.4.0.81.87 linux-image-lowlatency-lts-xenial 4.4.0.81.87 linux-image-powerpc64-smp-lts-xenial 4.4.0.81.87 linux-image-powerpc64-emb-lts-utopic 4.4.0.81.87 linux-image-generic-lts-xenial 4.4.0.81.87 linux-image-generic-lts-vivid 4.4.0.81.87 linux-image-powerpc-e500mc-lts-utopic 4.4.0.81.87 linux-image-powerpc-smp 4.4.0.81.87 linux-image-4.4.0-81-powerpc-smp 4.4.0-81.104 linux-image-generic-lpae-lts-vivid 4.4.0.81.87 linux-image-generic-lpae 4.4.0.81.87 linux-image-powerpc64-smp-lts- wily 4.4.0.81.87 linux-image-powerpc64-emb-lts-xenial 4.4.0.81.87 linux-image-powerpc-smp-lts- wily 4.4.0.81.87 linux-image-virtual-lts- wily 4.4.0.81.87 linux-image-powerpc64-smp 4.4.0.81.87 linux-image-4.4.0-81-powerpc64-smp 4.4.0-81.104 linux-image-powerpc-smp-lts-utopic 4.4.0.81.87 linux-image-powerpc-smp-lts-vivid 4.4.0.81.87 linux-image-lowlatency 4.4.0.81.87 linux-image-virtual-lts-xenial 4.4.0.81.87 linux-image-lowlatency-lts-utopic 4.4.0.81.87 Ubuntu 16.04 LTS: linux-image-4.4.0-1016-gke 4.4.0-1016.16 Ubuntu 16.04 LTS: linux-image-snapdragon 4.4.0.1061.54 linux-image-4.4.0-1061-金鱼草 4.4.0-1061.66 Ubuntu 16.04 LTS: linux-image-4.4.0-1020-aws 4.4.0-1020.29 Ubuntu 16.04 LTS: linux-image-raspi2 4.4.0.1059.60 linux-image-4.4.0-1059-raspi2 4.4.0-1059.67 Ubuntu 16.04 LTS: linux-image-4.8.0-56-powerpc-smp 4.8.0-56.61~16.04.1 linux-image-4.8.0-56-powerpc-e500mc 4.8.0-56.61~16.04.1 linux-image-4.8.0-56-lowlatency 4.8.0-56.61~16.04.1 linux-image-4.8.0-56-generic 4.8.0-56.61~16.04.1 linux-image-generic-hwe-16.04 4.8.0.56.27 linux-image-lowlatency-hwe-16.04 4.8.0.56.27 linux-image-4.8.0-56-generic-lpae 4.8.0-56.61~16.04.1 linux-image-virtual-hwe-16.04 4.8.0.56.27 linux-image-generic-lpae-hwe-16.04 4.8.0.56.27 linux-image-4.8.0-56-powerpc64-emb 4.8.0-56.61~16.04.1 Ubuntu 14.04 LTS: linux-image-powerpc-smp-lts-xenial 4.4.0.81.66 linux-image-lowlatency-lts-xenial 4.4.0.81.66 linux-image-4.4.0-81-powerpc-smp 4.4.0-81.104~14.04.1 linux-image-4.4.0-81-powerpc-e500mc 4.4.0-81.104~14.04.1 linux-image-4.4.0-81-lowlatency 4.4.0-81.104~14.04.1 linux-image-4.4.0-81-generic-lpae 4.4.0-81.104~14.04.1 linux-image-generic-lpae-lts-xenial 4.4.0.81.66 linux-image-powerpc64-smp-lts-xenial 4.4.0.81.66 linux-image-4.4.0-81-generic 4.4.0-81.104~14.04.1 linux-image-4.4.0-81-powerpc64-smp 4.4.0-81.104~14.04.1 linux-image-generic-lts-xenial 4.4.0.81.66 linux-image-powerpc64-emb-lts-xenial 4.4.0.81.66 linux-image-powerpc-e500mc-lts-xenial 4.4.0.81.66 linux-image-virtual-lts-xenial 4.4.0.81.66 linux-image-4.4.0-81-powerpc64-emb 4.4.0-81.104~14.04.1 Ubuntu 14.04 LTS: linux-image-powerpc-e500mc 3.13.0.121.131 linux-image-lowlatency-pae 3.13.0.121.131 linux-image-3.13.0-121-powerpc64-emb 3.13.0-121.170 linux-image-generic-pae 3.13.0.121.131 linux-image-3.13.0-121-powerpc-smp 3.13.0-121.170 linux-image-3.13.0-121-powerpc-e500mc 3.13.0-121.170 linux-image-3.13.0-121-powerpc-e500 3.13.0-121.170 linux-image-3.13.0-121-generic-lpae 3.13.0-121.170 linux-image-generic-lts-quantal 3.13.0.121.131 linux-image-virtual 3.13.0.121.131 linux-image-powerpc-e500 3.13.0.121.131 linux-image-generic-lts- trusty 3.13.0.121.131 linux-image-3.13.0-121-通用 3.13.0-121.170 linux-image-omap 3.13.0.121.131 linux-image-powerpc64-emb 3.13.0.121.131 linux-image-3.13.0-121-powerpc64-smp 3.13.0-121.170 linux-image-generic 3.13.0.121.131 linux-image-highbank 3.13.0.121.131 linux-image-generic-lts- saucy 3.13.0.121.131 linux-image-powerpc-smp 3.13.0.121.131 linux-image-3.13.0-121-lowlatency 3.13.0-121.170 linux-image-generic-lpae-lts- saucy 3.13.0.121.131 linux-image-generic-lts- raring 3.13.0.121.131 linux-image-powerpc64-smp 3.13.0.121.131 linux-image-generic-lpae-lts- trusty 3.13.0.121.131 linux-image-generic-lpae 3.13.0.121.131 linux-image-lowlatency 3.13.0.121.131 Ubuntu 12.04 ESM: linux-image-powerpc-smp 3.2.0.128.142 linux-image-3.2.0-128-虚拟 3.2.0-128.173 linux-image-3.2.0-128-generic-pae 3.2.0-128.173 linux-image-generic 3.2.0.128.142 linux-image-generic-pae 3.2.0.128.142 linux-image-highbank 3.2.0.128.142 linux-image-3.2.0-128-highbank 3.2.0-128.173 linux-image-3.2.0-128-powerpc-smp 3.2.0-128.173 linux-image-virtual 3.2.0.128.142 linux-image-powerpc64-smp 3.2.0.128.142 linux-image-3.2.0-128-omap 3.2.0-128.173 linux-image-3.2.0-128-powerpc64-smp 3.2.0-128.173 linux-image-omap 3.2.0.128.142 linux-image-3.2.0-128-通用 3.2.0-128.173 Ubuntu 12.04 LTS: linux-image-3.13.0-121-generic 3.13.0-121.170~precise1 linux-image-generic-lpae-lts- trusty 3.13.0.121.112 linux-image-generic-lts- trusty 3.13.0.121.112 linux-image-3.13.0-121-generic-lpae 3.13.0-121.170~precise1 须藤 从 2017 年 5 月 30 日起,USN-3304-1涵盖了上述 sudo 错误: Ubuntu 17.04: 须藤 -ldap 1.8.19p1-1ubuntu1.1 须藤 1.8.19p1-1ubuntu1.1 Ubuntu 16.10: 须藤 -ldap 1.8.16-0ubuntu3.2 须藤 1.8.16-0ubuntu3.2 Ubuntu 16.04 LTS: 须藤 -ldap 1.8.16-0ubuntu1.4 须藤 1.8.16-0ubuntu1.4 Ubuntu 14.04 LTS: 须藤 -ldap 1.8.9p5-1ubuntu1.4 须藤 1.8.9p5-1ubuntu1.4 user7761803 2017-06-22T04:21:57+08:002017-06-22T04:21:57+08:00 多操作系统错误是如何发生的? 要专门解决您问题的这一部分: 由于堆(向上增长)和堆栈(向下增长)使用了共享地址空间,因此出现此问题。 这种设计在许多系统中都很常见,因此许多系统容易受到同一类漏洞的影响。
Stack Clash 是一种基于相当古老技术的漏洞利用。进程使用的内存分为两个区域——堆栈和堆。人们通常认为堆栈向下增长,堆向上增长。当其中一方成长到足以与另一方发生冲突时会发生什么?更一般地说,当堆栈增长到足以侵占不相关的内存空间时会发生什么?最初的漏洞存在 12 年,Linux 内核开发人员通过使用保护页临时修复了它。然而,尽管有保护页,Qualys 的研究人员还是设法利用了这一点。
Ars Technica 报告:
引用关于 2010 年原始修复的 LWN 文章:
以上描述适用于各种类 Unix 内核。
虽然 Ars Technica 确实注意到 Qualys 报告中提到的临时解决方法(“将 本地用户 和 远程服务 的 硬 RLIMIT STACK 和 RLIMIT_AS设置 为低值”),但应该注意的是,这不一定能防止这种利用。目前唯一安全的出路是升级。根据grsecurity分析:
我们现在能做的最好的事情就是将内核升级到一个补丁版本。
2010 年的漏洞利用 X 服务器,这个利用 sudo,下一个可能是大量用户空间程序中的任何一个,在某些时候,这些程序在提升的权限下运行。
Qualys 尚未发布任何用于漏洞利用的概念验证代码(他们计划在以后发布)。
有多个与 CVE-2017-1000364 相关的 Ubuntu 安全通知:
另请注意,CVE 跟踪器列出了几个版本/内核组合作为待定修复。
通常,最简单的修复方法是尽快将您的系统更新到最新的内核包。
来自 USN 的相关内核版本(使用 剔除
for i in {24..35}; curl -s https://www.ubuntu.com/usn/usn-33$i-1/ | pup 'dl:nth-last-of-type(1)'):须藤
从 2017 年 5 月 30 日起,USN-3304-1涵盖了上述 sudo 错误:
要专门解决您问题的这一部分:
由于堆(向上增长)和堆栈(向下增长)使用了共享地址空间,因此出现此问题。
这种设计在许多系统中都很常见,因此许多系统容易受到同一类漏洞的影响。