“Dirty Pipe”的故事

Max Kellermann在他的博客中披露了一个能导致 Linux 权限提升的漏洞,编号为 CVE-2022-0847,他称之为 “The Dirty Pipe Vulnerability” (“脏管道”漏洞)。

墨菲安全实验室
墨菲安全实验室   Follow

# Linux 内核提权漏洞 (CVE-2022-0847)

# 漏洞简述

3月7日,开发者 Max Kellermann 在他的博客(https://dirtypipe.cm4all.com/)中披露了一个能导致 Linux 权限提升的漏洞,编号为 CVE-2022-0847,他称之为 “The Dirty Pipe Vulnerability” (“脏管道”漏洞)。

Linux 5.10版本前的一次 commit 中,重构了匿名管道缓冲区的代码,修改了“可合并”检查的逻辑,这个修改造成了通过匿名管道覆盖任意只读文件的漏洞,攻击者可以利用该漏洞进行本地权限提升。

漏洞评级为严重,受影响 Linux Kernel 版本范围为:

  • 5.8 ~ 5.10.102
  • 5.8 ~ 5.15.25
  • 5.8 ~ 5.16.11

此漏洞很容易被利用以获得root权限,漏洞利用信息已公开,建议用户尽快升级到 5.10.102 或 5.15.25 或 5.16.11 及以上版本 Linux 内核。

# 漏洞时间线

  • 2021年4月29日,Linux 内核错误导致的文件损坏第一次出现
  • 2022年2月19日,Kellerman 确定文件损坏是 Linux 内核错误导致的,并证明该漏洞可利用
  • 2月20日,Kellerman 向 Linux 内核安全团队提交该漏洞
  • 2月21日,Google Pixel 6 上漏洞重现,向 Android 安全团队提交漏洞
  • 2月23日,稳定版本 (5.16.11 (opens new window), 5.15.25 (opens new window), 5.10.102 (opens new window)) 修复了该漏洞
  • 2月24日,Android 内核修复该漏洞
  • 3月7日,公开披露

# 缺陷分析

Max Kellermann 在他的博客中提到 linux 的 commit f6dd975583bd(详见参考链接) 重构了匿名管道缓冲区的代码,修改了“可合并”检查的逻辑。

img

“可合并”检查逻辑修改前,pipe_buf_can_merge方法对管道缓冲区的操作进行了判断,管道缓冲区的合并是有条件的。

img

“可合并”检查逻辑修改后,PIPE_BUF_FLAG_CAN_MERGE 是固定值,即默认合并管道缓冲区的内容。

img

从上述逻辑来看,这个修改就是“脏管道”漏洞的出现的原因了。

Max Kellermann 在博客中描述了自己从一次文件损坏中发现 linux 内核的漏洞的故事,随着文件损坏出现的越来越多,情绪变的更加沮丧,甚至开始怀疑鬼神。最后在排除自身问题后发现了内核错误。

以后遇到bug后多质疑,万一是软件的问题呢?

# 参考链接

https://dirtypipe.cm4all.com/

https://github.com/torvalds/linux/commit/f6dd975583bd8ce088400648fd9819e4691c8958

内核提权 管道缓冲
Linux 内核提权漏洞 (CVE-2022-0847)
漏洞简述
漏洞时间线
缺陷分析
参考链接