更多資訊和分析文章請關注啟明星辰ADLab微信公眾號及官方網站(adlab.venustech.com.cn)

漏洞背景

近日，Linux git中發布一個commit補丁，該補丁對應的漏洞是一個本地提權漏洞CVE-2019-8912，漏洞影響范圍較廣。根據git中的commit信息可知，該漏洞出現在內核'crypto/af_alg.c'中的af_alg_release函數中，可以通過sockfs_setattr函數觸發，漏洞類型是use after free，可以導致本地代碼執行進行權限提升。

漏洞影響版本

• Linux 2 .6 ~ Linux 4.20.11

• Red Hat Enterprise Linux 7，Package： kernel-alt

• Debian，Release：Jessie，Version：3.16.56-1+deb8u1

• Debian，Release：Jessie (security)，Version：3.16.56-1

• Debian，Release：stretch，Version：4.9.144-3

• Debian，Release：stretch (security)，Version：4.9.110-3+deb9u6

• Debian，Release：buster，Version：4.19.16-1

• Debian，Release：sid，Version：4.19.20-1

Linux Crypto模塊簡介

Linux內核從版本2.5開始引入了加密機制，為內核提供加密功能，應用包括：硬件加密設備驅動、內核代碼簽名、硬件隨機數生成器、文件系統加密等。從版本2.6.6之后，內核源碼提供了豐富的密碼學算法支持，并可以通過配置編譯選項將加密算法作為模塊編入內核。內核編譯配置如下圖所示：

但是該加密功能提供的API接口只能在內核層進行使用，用戶層無法調用。2010年，有位維護者向Linux Crypto維護組提交了一份Crypato API 用戶接口，類似于netlink，基于socket進行通信，便于用戶層訪問內核加密子系統。功能實現代碼在文件crypto/af_alg.c中。

漏洞原理及溯源

漏洞存在于crypto 模塊中的af_alg_release()函數中。af_alg_release()函數在進行對象釋放時，未將對象置空。對應commit：9060cb719e61b685ec0102574e10337fa5f445ea補丁代碼如下，補丁添加了一行代碼：sock->sk = NULL; 。

在未添加補丁之前，如果該sock->sk引用計數是1，當調用sock_put()進行釋放后沒有置空，就直接返回，會產生一個sock->sk懸掛指針。

為了分析這個漏洞的前因后果，先分析下相關的socket代碼。對每個新創建的socket，Linux內核都將在sockfs中創建一個新的inode。Sockfs_*系列函數就是用來操作sockfs文件系統的。Sockfs_setattr()函數就是設置socket文件屬性的。在net/socket.c文件中sockfs_setattr()函數將會使用sock->sk對象。

根據提交的commit：9060cb719e61b685ec0102574e10337fa5f445ea細節可知，在該漏洞披露之前，Linux已經修復了sock_close()和sockfs_setattr()之間的條件競爭漏洞，對應commit為6d8c50dcb029872b298eea68cc6209c866fd3e14，具體先看下sockfs_setattr()函數中的補丁。補丁代碼如下：

行544，首先判斷sock->sk是否為空，如果不為空，行545再將用戶層傳進來的iattr->ia_uid賦值為sock->sk->sk_uid。然后看sock_close ()函數中的補丁。補丁代碼如下：

行1186，替換成了新函數__sock_release()，該函數多了一個參數inode。__sock_release()函數實現如下：

行601，對inode進行判斷，如果不為空，然后調用inode_lock()函數對其進行上鎖。其實該inode本身和要進行釋放的socket對象是對應的。行603，調用ops中release()函數進行釋放操作。這個ops中release()函數只是一個函數指針，最終會根據用戶注冊哪種套接字類型決定。行604，再次判斷inode是否為空，如果不為空，再進行解鎖。通過對inode加鎖，防止在對socket對象釋放時進行其他操作。

從commit：6d8c50dcb029872b298eea68cc6209c866fd3e14提供的細節可知， sock_close()函數和sockfs_setattr()函數之間的條件競爭可以通過用戶層fchownat()函數引發。根據man手冊可知，該函數是用于設置文件屬性的，例如uid和gid，在內核中對應的sockfs_setattr()函數，如下圖所示：

細節中描述，該函數不會保持文件fd的引用計數，這也是導致存在條件競爭的原因。根據前文可知，sockfs_setattr()函數其實就是設置UID才操作sock->sk對象的。

如果再繼續向前追溯的話，從commit：86741ec25462e4c8cdce6df2f41ead05568c7d5e提供的細節可知UID的來龍去脈。該補丁提交于2016年。由于socket 協議中的結構體struct sock在大多時候都是和用戶層的sockets一一映射的，sockets對應的內核結構體為struct socket。考慮到方便操作，便通過向struct sock添加一個sk_uid字段來簡化對struct socket中的UID的匹配，也因此添加了一個關鍵函數。如下圖所示：

由此可知，本來存在于sock_close()和sockfs_setattr之間的條件競爭已經被修復，由于crypto/af_alg.c中af_alg_release()函數沒有將釋放后的sock->sk及時置空，導致前面所做的安全補丁全部失效。

安全建議

該漏洞補丁已經給出，請及時升級到最新版本。https://github.com/torvalds/linux/commit/9060cb719e61b685ec0102574e10337fa5f445ea

啟明星辰積極防御實驗室(ADLab)

ADLab成立于1999年，是中國安全行業最早成立的攻防技術研究實驗室之一，微軟MAPP計劃核心成員，“黑雀攻擊”概念首推者。截止目前，ADLab已通過CVE累計發布安全漏洞近1000個，通過 CNVD/CNNVD累計發布安全漏洞近500個，持續保持國際網絡安全領域一流水準。實驗室研究方向涵蓋操作系統與應用系統安全研究、移動智能終端安全研究、物聯網智能設備安全研究、Web安全研究、工控系統安全研究、云安全研究。研究成果應用于產品核心技術研究、國家重點科技項目攻關、專業安全服務等。

總結

以上是生活随笔為你收集整理的sqlite字段是否存在_【漏洞预警】Linux内核存在本地提权漏洞（CVE20198912）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。