В ядре kernel-rt c реализацией режима реального времени для Red Hat Enterprise Linux выявлена (http://seclists.org/oss-sec/2016/q2/349) проблема с безопасностью, позволяющая организовать атаку по выполнению произвольных команд SysRq (https://ru.wikipedia.org/wiki/SysRq) через отправку специально оформленных пакетов ICMP echo. Проблема связана с недоработкой в реализации функции (https://lwn.net/Articles/448790/) отправки команд SysRq по сети, которая не была принята в состав основного ядра, но вошла в состав пакета kernel-rt с набором патчей PREEMPT_RT (https://rt.wiki.kernel.org/index.php/Main_Page). Патч также используется в пакетах с ядром для некоторых других дистрибутив, например проблема присутствует (https://security-tracker.debian.org/tracker/CVE-2016-3707) в ядре из состава Debian. Обычное (не "-rt") ядро RHEL проблеме не подвержено.
Патч отправки SysRq по сети был создан для реагирования на зависания системы, при которых система никак не реагирует на клавиатурный ввод, но продолжает отвечать на запросы ping. Патч предлагает опцию CONFIG_SYSRQ_PING при активации которой пользователь может добавить в файл /sys/kernel/debug/network_sysrq_magic секретную кодовую последовательность, которая в дальнейшем может использоваться в качестве ключа для удалённого выполнения команд SysRq. Например, команду SysRq можно отправить через "<font color="#461b7e">ping -c 1 -p 1623a06f554d46d676d 192.168.1.1</font>", где 1623a06f554d46d67 - ключ, а 6d - код команды sysrq-m.
Реализация имеет две проблемы: Размер ключа составляет всего 30 шестнадцатеричных чисел, что с учётом легковесности пакетов icmp позволяет удалённому злоумышленнику совершить bruteforce-атаку и методом подбора определить нужный ключ. Для пользователей локальной системы не составляет труда получить ключ без подбора, файл
/sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.URL: http://seclists.org/oss-sec/2016/q2/349
Новость: http://www.opennet.me/opennews/art.shtml?num=44443
Лол
чего только не придумают для создания новых дыр в системе.
>не более 30 шестнадцатеричных чиселцифр. 1.32*10^36 значений. даже если миллион пакетов в секунду, то это туева хуча лет на брутфорс. а вот третья проблема - этот ICMP перехватывается и повторяется без проблем.
На практике цифр 8-10 используют для пароля, 30 - это максимальное значение.
думается мне, что людей, которые понимают debugfs, SysRq, ICMP и отправку данных поверх него, при этом не понимая брутфорса, на этой планете довольно мало. Ну по-крайней мере надеюсь на это.
А как проверить, что ключ подошёл? Слать команду "ребут" и детектить момент, когда пинги перестанут идти, что ли?
Радует то, что самую серьёзную уязвимость - возможность осуществить DoS атаку путём нажатия кнопки reset на системном блоке - многие вендоры уже устранили.
Я так понял, это для отладки и ковыряния на полигоне. Не для тырнетов же, разве не так?Спасибо, не знал о такой полезной функции.
Главное что это не в основной ветке, а то что делают другие для себя это их проблема
Пинг смерти 20 лет спустя
Ага, для его успешности надо подождать всего лишь жалкие двадцать секстиллионов лет.
Давайте перезагрузим биржи! И операционные центры Visa и MasterCrad! И ... И... Ну не знаю! Или они все уже обновились?
А вы их айпишники знаете?
> Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.Ой ли?..
$ cd /sys/kernel/debug/
bash: cd: /sys/kernel/debug/: Отказано в доступеdrwx------ 21 root root 0 апр 28 13:06 debug
Не доктор вэб ли опять панику наводит?
Высосать из пальца проблему.
>Ой ли?..У тебя RHEL? Новость вообще то про неё
> У тебя RHEL? Новость вообще то про неёТам дебьян приписали..
Да и для RHEL проблемы как таковой нет, если есть мозги у админа и руки из плеч.
что вообще это за хрень? опять проделки пОТТЕРА?
> что вообще это за хрень? опять проделки пОТТЕРА?https://lwn.net/Articles/448790/ Разве что он завёл себе псевдоним.
Так это ж прямо escape_me m0r1k'овский!! =)) Ромин то есть, мы с ним в агаве работали))) он так себе комп перезагружал удалённо, когда firefox (2.x какой-то ещё) всю память выжирал...
> Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.Debian 8, Debian 9:
drwx------ 23 root root 0 Mar 10 10:17 debug
Чё панику развели?
Написано же: не использовать в небезопасном окружении.
Реализацию сделали, а как закрыться - пусть думает админ.
Не надо - не используй модуль.diff --git a/Documentation/networking/sysrq-ping.txt b/Documentation/networking/sysrq-ping.txt
....
+ Allows execution of sysrq-X commands via ping over ipv4. This is a
+ known security hazard and should not be used in unsecure
+ environments.
И вообще, патчу 5 лет. С разморозкой, RedHat!
Софт должен попадать в репы с минимальными изменениями.
Вот поэтому арч выгодно отличается от подобных дистрибутивов, в которых пользователя всего обмазывают всякими низкокачественными патчами.
Молодец, сили дальше без PREEMPT_RT
Бред, какой то, какая же это уязвимость то, НОРМАЛЬНЫЙ админ, который устанавливает подобные системы должен изолировать их от инета что бы не мешал, ибо rt-шный системы делают не для инета.