L

uka została ujawniona podczas zgłoszenia błędu na githubie. systemd nie potrafi obsłużyć odpalenia procesu użytkownika, którego login zaczyna się od liczby np. 0day i tym samym uruchamia proces z prawami administratora zamiast owego użytkownika. Brzmi to dość drastycznie:

> In case of bug report: Expected behaviour you didn’t see
The process started by systemd should be user previlege

> In case of bug report: Unexpected behaviour you saw
The process started by systemd was root previlege

[ czytaj całość… ]

D

awid Golunski w formie. Serwer MySQL oraz jego odmiany (MariaDB, Percona) są podatne na eskalację uprawnień poprzez możliwość wygrania sytuacji wyścigu. Podatność pozwala lokalnemu użytkownikowi systemu na eskalację uprawnień i dowolne wykonanie kodu jako użytkownik bazy danych – najczęściej “mysql” – za pomocą dostępu zwykłego konta do bazy danych z podstawowymi uprawnieniami (CREATE/INSERT/SELECT). Eksploatacja zakończona sukcesem pozwala atakującemu na uzyskanie dostępu do wszystkich baz danych przechowywanych na podatnym serwerze. Wraz z połączeniem z innymi błędami może dojść nawet do pełnej kompromitacji systemu poprzez uzyskanie praw administratora. Wystarczy, że atakujący stworzy bazę danych w tymczasowym katalogu i wykona na niej operację REPAIR, która pozwoli mu na wygranie wyścigu przed operacją chmod(). W oknie atakujący może zamienić plik bazy danych na symlink do katalogu /var/lib/mysql. W ten sposób wcześniej ustawione prawa dostępu bazy np. 777 zostaną przeniesione na katalog, na który wskazuje symlink. Inne wykorzystanie tej luki umożliwia uzyskanie powłoki systemowej z uprawnieniami użytkownika, z którymi został uruchomiony serwer MySQL. Podatne są wersje:

MariaDB: 
	< 5.5.52
	< 10.1.18
        < 10.0.28
MySQL:
	<= 5.5.51
	<= 5.6.32
	<= 5.7.14
Percona Server:
	< 5.5.51-38.2
	< 5.6.32-78-1
	< 5.7.14-8
Percona XtraDB Cluster:
	< 5.6.32-25.17
	< 5.7.14-26.17
	< 5.5.41-37.0

Więcej informacji: PoC oraz Exploit wraz z szczegółowym opisem podatności

D

awid Glounski opublikował dzisiaj 0day na serwery bazodanowe oparte na silniku MySQL (dotyczy to również MariaDB oraz Percona). Błąd pozwala atakującym na wstrzyknięcie złośliwych ustawień do plików konfiguracyjnych serwera (my.cnf), które mogą prowadzić do poważnych konsekwencji. Podatność dotyka wszystkie serwery MySQL w podstawowej konfiguracji (wersje: 5.7, 5.6 oraz 5.5) wliczając w to najnowsze wersje. Eksploracja błędu może zostać przeprowadzona zarówno lokalnie, jak i zdanie (poprzez uwierzytelniony dostęp sieciowy / interfejs webowy w postaci PHPmyAdmin lub atak SQL Injection). Udane wykorzystanie luki może pozwolić agresorowi na wykonanie dowolnego kodu z uprawnieniami użytkownika root, czyli administratora – w konsekwencji może dojść do pełnej kompromitacji serwera, na którym został zaatakowany daemon MySQL, ponieważ wykorzystanie tej podatności jest możliwe nawet jeśli moduły zabezpieczeń w postaci AppArmor oraz SELinux są aktywowane z domyślnymi politykami dla różnych dystrybucji Linuksa.

Więcej informacji: Szczegóły ataku oraz dowód na słuszność koncepcji