Drie kwetsbaarheden in een component van het systeem zijn ontdekt door onderzoekers van Qualys. De kwetsbaarheden CVE-2018-16.864, CVE-2018-16.865, en CVE-2018-16.866, en patches aanpakken van hen zijn reeds beschikbaar.
Specifieker, ze werden ontdekt in systemd-journald, die een deel van systemd dat zorgt voor de inzameling en opslag van loggegevens. De eerste twee kwetsbaarheden geheugenbeschadiging gebreken, en de derde is een out-of-bounds fout die gegevens kunnen lekken.
De patches moeten verschijnen in distro repositories dankzij een gecoördineerde openbaarmaking. Opgemerkt dient te worden, hoewel, dat afhankelijk van de geïnstalleerde versie, Debian is nog steeds kwetsbaar, onderzoekers zeggen.
CVE-2018-16.864, CVE-2018-16.865, CVE 2018: technisch overzicht
CVE-2018-16.864 en CVE-2018-16.865 zijn geheugen corruptie kwetsbaarheden, en CVE-2018-16.866, is een informatie lekken (een out-of-bounds gelezen) fout.
CVE-2018-16.864 werd geïntroduceerd in april 2013 (systemd V203) en werd exploiteerbare in februari 2016 (systemd V230). Qualys onderzoekers ontwikkelden een proof of concept voor de fout die EIP regelopbrengsten op i386, zoals uiteengezet de officiële beveiligingsadvies.
Zoals voor CVE-2018-16.865, de fout werd ontdekt in december 2011 (systemd V38). Het werd exploiteerbare in april 2013 (systemd V201). Eindelijk, CVE-2018-16.866 werd geïntroduceerd in juni 2015 (systemd V221) en werd “per ongeluk vast” in augustus 2018.
De onderzoekers ontwikkelden een exploit CVE-2018-16865 en 2018-16866 CVE-dat een lokale root shell verkrijgt in 10 minuten i386 en 70 minuten amd64, gemiddeld. De exploit wordt verondersteld in de toekomst moet worden gepubliceerd.
Qualys van mening dat alle systemd-gebaseerde Linux-distributies zijn kwetsbaar. Echter, SUSE Linux Enterprise 15, openSUSE Leap 15.0, en Fedora 28 en 29 zijn niet exploiteerbare. De reden is dat hun gebruikersruimte is gecompileerd met GCC -fstack-botsing-bescherming.
In een telefoongesprek met The Register, Jimmy Graham, directeur product management bij Qualys, zei dat "ze zijn allemaal op de hoogte van de problematiek”En patches worden uitgerold.
Het is belangrijk op te merken dat CVE-2018-16.864 kunnen worden uitgebuit door malware draait op een Linux box, of een kwaadaardig ingelogde gebruiker. Dientengevolge, de systemd-journald systeem service kan worden gecrasht en gekaapt, en kan leiden tot root-toegang. De andere twee fouten kunnen samen worden benut in een lokaal aanval waarbij de kwaadwillende gebruiker kan vastlopen of kaping de journaalservice met root rechten.