Pracovník Huawei Mao Wenan objevil bezpečnostní chybu v jádrech 4.10 – 4.20. Jde o chybu CVE-2019–8912 use-after-free v sockfs_setattr, tento typ chyby může někdy vést ke spuštění kódu. Chyba má již jednoduchou opravu, v jádře 4.20.11 ale ještě není.
(zdroj: phoronix)
Je fascinující sledovat, jakým úžasným zdrojem dezinformací se tahle chyba stala. Race condition ve funkci přidané ve 4.10-rc1 je "bezpečnostní chyba v jádrech 2.6 - 4.20"? A co tahle hra na tichou poštu? Realita: "dá se vyvolat use after free; některé chyby tohoto typu se dají zneužít i k arbitrary code execution, tady ale zatím (?) není ani žádný proof of concept". Phoronix: "use-after-free issue was found ... and looks like it could lead to arbitrary code execution as a result". Root: "use-after-free v sockfs_setattr, což může například vést ke spuštění kódu".
Bohužel se na šíření paniky podílejí i jindy důvěryhodné instituce, např. NVD se svým odvážným "Attack Vector: Network" a z toho vycházejícím CVSS v3 skóre 9.8.
Někdo dnes bohužel chápe CVE s co největším skóre jen jako zajímavou trofej, která se dobře vyjímá v CV začínajícího „bezpečnostního experta“. Takže jde spíš o soutěž, komu se podaří vytáhnout skóre co nejvýš, než aby to vypovídalo a skutečné závažnosti chyby.
To se (v jiném případě) ve druhém e-mailu dočtete Could you please add my name to the change log or something? I am starting in security so it is good for my resume! a v dalším I think we should open a CVE for that so other people know they should update the library. What do you think? Teď koukám, že dotyčný to tenkrát opravdu dotáhl až k CVE s „Access Vector: Network“ a celkovým skóre 7,5. Protože přece ten neošetřený string, který při každém smysluplném použití bude uveden jako konstanta v programu, teoreticky může přijít i po síti…
Tohle je aspoň chyba, kde by skutečně nemusel být až takový problém z toho vyrobit lokální DoS, i když skóre 9.8 je samozřejmě nesmysl, vezmu-li si, že 10.0 je teoretické maximum, Dirty Cow měl 7.8, Meltdown/Spectre 5.6 a SegmentSmack/FragmentSmack 7.5.
Ale co si mám myslet, když mám ve frontě asi osm CVE na tcpreplay, které všechny vypadají tak, že dotyčný mu předhodil nekorektní pcap soubor, spustil to pod valgrindem a ten ukázal, že se někde četlo kousek za alokovaným bufferem (takže v reálu by ten program možná spadnul na SEGV - ale spíš jen poslal ven paket s nesmysly na konci)? Pominu-li otázku bezpečnostního aspektu, dřív bývalo zvykem v takovém případě udělat jedno CVE "multiple vulnerabilities in ...", ale to by holt nebylo tolik čárek do životopisu. Pak se nemají objevovat vtipy, že zkratka CVE znamená "CV Enhancement"...
V commit message je
Write of size 4 at addr ffff88837b956128 by task syz-executor0/4186
takže podle všeho zkoušel fuzzing se syzkallerem, stejně jako u mnoha jiných podobných chyb z poslední doby. Tohle je navíc follow-up na nedostatečnou opravu dřívější chyby (CVE-2018-12232), takže se možná přímo soustředil na tu starší chybu a hledal, jestli se poblíž nenajde něco podobného. V této souvislosti je zajímavý spíš tenhle úlovek.
