Linux内核通杀提权漏洞

漏洞发现人：Philip Pettersson

漏洞编号：CVE-2016-8655

漏洞危害：高危，低权限用户利用该漏洞可以在Linux系统上实现本地提权。

影响范围：Linux内核（2011年4月19日发行）开始就受影响了，直到2016年11月30日修复。

漏洞描述

Philip Pettersson在Linux (net/packet/af_packet.c)发现条件竞争漏洞，可以通过内核代码进行权限提升。

这个bug最早出现于2011年4月19号的代码中，详细请参考：

github.com/torvalds/linux/commit/f6fb8f100b807378fda19e83e5ac6828b638603a

它于2016年11月30号被修复，详细请参考：

git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c

漏洞细节

新建AF_PACKE套接字你需要CAP_NET_RAW在你的网络命名空间 ，然而系统中非权限的进程在非权限的命名空间可以获得这个能力（Ubuntu, Fedora等发行版），这个漏洞可以在容器内触发，从而入侵整个主机内核。在android上，有 gid=3004/AID_NET_RAW的进程可以新建AF_PACKET套接字 (mediaserver)，从而触发这个漏洞。

问题出在inside packet_set_ring() 和 packet_setsockopt()函数中，我们可以看到当套接字使用PACKET_RX_RING选项时候，packet_set_ring()会调用setsockopt()函数。

如果套接字的版本是TPACKET_V3，一个 timer_list对象将会在init_prb_bdqc()调用时被 packet_set_ring()初始化。

函数的流程如下：

当套接字关闭，packet_set_ring()会再次被调用，如果packet的版本> TPACKET_V2，会释放和删除先前初始化的定时器。

当packet版本为TPACKET_V1时，init_prb_bdqc()将会在packet_setsockopt()后被执行，在packet_set_ring() 函数前返回。

ring buffer被初始化后，可以尝试拒绝改变套接字版本。但是这样的校验是不完整的。

在 packet_set_ring()中init_prb_bdqc() 和 swap(rb->pg_vec, pg_vec) 之间的调用有足够的空间来竞争这条代码路径

当套接字关闭，packet_set_ring()将不会删除定时器，因此这时套接字的版本为TPACKET_V1，timer_list 结构体描述定时器对象定位在内部的packet_sock结构体中，套接字将调用kfree()释放。

我们可以在通过UAF利用定时器对象上对SLAB分配器实现不同的中毒攻击（我发现add_key()是最可靠的)，这最终会导致当定时器过期内核跳到处理函数。

通过在packet_setsockopt()中使用lock_sock(sk)来修复这个bug,同时锁定packet版本。

漏洞验证

POC

pastebin.com/qe6dYkeP

国内网盘地址：

pan.baidu.com/s/1sl91PA9

修复方法

各linux发行版自行更新内核到最新版本。