systemd-journaldサービスは、CVE-2018-16865およびCVE-2018-16866アドバイザリで追跡されている2つの危険な脆弱性の影響を受けることが判明しています。. それらを悪用することによって, コンピュータ犯罪者はメモリを操作し、マシンの制御を引き継ぐことができます. 現在、sytemd-journaldは最新のLinuxシステムの主要コンポーネントの1つです。. これが、起こりうる攻撃から確実に保護するために、すべてのソフトウェアパッチを適用する必要がある理由です。.
Systemd-脅威にさらされているジャーナル, 概念実証エクスプロイトが利用可能
深刻な問題が発生しました 報告 今日のほとんどのLinuxシステムの主要コンポーネントの1つであるsystemdジャーナルサービスに影響を与える systemd-journald. これはsystemdで使用されるロギングサービスです, その主なタスクは、構造化されたジャーナルを維持することによってログイン日付を収集して保存することです. 次のようなさまざまなソースと相互作用できます:
- カーネルログメッセージ, kmsg経由
- シンプルなシステムログメッセージ
- ネイティブジャーナルAPIを介した構造化システムログメッセージ
- サービスユニットの標準出力と標準誤差
- 監査記録, カーネル監査サブシステムから発信
そのため、サービスに影響を与える脆弱性は、被害者のマシンに深刻な損害を与える可能性があります. 問題の最初の脆弱性は CVE-2018-16865 そしてそれは次のように記述されます:
制限のないメモリの割り当て, その結果、スタックが別のメモリ領域と衝突する可能性があります, 多くのエントリがジャーナルソケットに送信されたときにsystemd-journaldで発見されました. ローカルの攻撃者, またはsystemd-journal-remoteが使用されている場合はリモート, この欠陥を使用してsystemd-journaldをクラッシュさせたり、journald権限でコードを実行したりする可能性があります. v240までのバージョンは脆弱です.
それはまだ分析中であり、脆弱なコンピューターに直接の脅威をもたらします. 事実上すべての悪意のあるコード, このようにコンピュータと対話できるスクリプトまたはスタンドアロンプログラムであるかどうかにかかわらず、マシンをクラッシュさせる可能性があります. その他の悪意のあるアクションは、ジャーナルされた特権でマルウェアコードを直接実行することです.
2番目のエクスプロイトはメモリの露出を可能にし、追跡されます CVE-2018-16866 次の説明で投稿されています:
コロンで終了するログメッセージを解析する方法で、systemd-journaldで範囲外の読み取りが発見されました。:'. ローカルの攻撃者はこの欠陥を利用してプロセスメモリデータを開示する可能性があります.
悪用の成功は、実行されるローカルの悪意のあるコードに再び依存します. 簡単な方法は、ウイルスによってドロップされたペイロードを介してこれを自動的に行うことです. これらの2つの弱点を使用して、システムの中断を引き起こす方法はたくさんあります。 すべてのユーザーは、悪用を防ぐためにできるだけ早くシステムを更新することをお勧めします.