NewStart CGSL MAIN 4.05：核心多個弱點 (NS-SA-2019-0152)

high Nessus Plugin ID 127425

語系：

概要

遠端機器受到多個弱點的影響。

說明

執行 MAIN 4.05 版的遠端 NewStart CGSL 主機安裝了受多個弱點影響的核心套件：- 據發現，AIO 介面未使用擴充功能的正確 rw_verify_area() 協助函式，例如檔案的強制鎖定功能。rw_verify_area() 也會擴大檢查範圍，例如，確定存取的大小不會造成提供的偏移限值溢位。在 3.4.1 之前的 Linux 核心中，fs/aio.c 有整數溢位問題，本機使用者因而得以透過較大的 AIO iovec 造成拒絕服務，也可以造成其他不明影響。(CVE-2012-6701) - 在 Linux 核心 4.0 中，fs/aio.c 的 aio_setup_single_vector 函式中有整數溢位問題，本機使用者因而得以透過較大的 AIO iovec 造成拒絕服務，也可以造成其他不明影響。注意：此弱點之所以存在是因為 CVE-2012-6701 迴歸所致。(CVE-2015-8830) - 據發現，遠端攻擊者可利用產生 IPv6 不可部分完成片段，在任意 IPv6 流程中觸發使用片段化 (在不需要封包實際片段化的情況下)，然後再對未實作 RFC6946 的舊式 IPv6 節點進行任何類型的片段化攻擊。(CVE-2016-10142) - 在 Linux 核心的 aacraid 實作中，發現 ioctl_send_fib() 函式有爭用情形缺陷。本機攻擊者可利用此缺陷，藉由變更特定的大小值來造成拒絕服務 (越界存取或系統當機)。(CVE-2016-6480) - 據發現，啟用 gcc 堆疊保護器時，讀取 /proc/keys 檔案可能會因堆疊損毀而導致 Linux 核心錯誤。發生此錯誤的原因在於：使用不正確的緩衝區大小來保存 64 位元逾時值 (以週呈現)。(CVE-2016-7042) - 據發現，透過 chmod 修改檔案權限時，若修改權限的使用者不在所屬群組內，或可執行 CAP_FSETID，則 setgid 位元會遭到清除。透過 setxattr 設定 POSIX ACL 可設定檔案權限及新 ACL，但無法以類似方式清除 setgid 位元。本機使用者可能因此透過特定 setgid 應用程式取得群組權限。(CVE-2016-7097) - 在 Linux 網路子系統中發現一個缺陷：具有 CAP_NET_ADMIN 功能的本機攻擊者可建立比預期小的 ICMP 標頭，然後透過 sendto() 將之傳送至其目的地，藉此造成越界記憶體存取問題。(CVE-2016-8399) - 在 Linux 核心金鑰管理子系統中發現一個缺陷，本機攻擊者可利用此缺陷，藉由提供特製的 RSA 金鑰，損毀核心，或損毀堆疊及其他記憶體 (拒絕服務)。此缺陷會在驗證 RSA 金鑰時，造成機器錯誤。(CVE-2016-8650) - 在 Linux 核心的 ALSA 子系統中，snd_pcm_info() 函式有釋放後使用弱點，攻擊者得以造成核心記憶體損毀，也可能當機或鎖定系統。雖然不太可能，但是由於缺陷的本質，無法完全排除權限提升狀況。(CVE-2017-0861) - 在 Linux 核心網路子系統中的原始封包通訊端實作處理同步的方式中發現爭用情形。可開啟原始封包通訊端 (需使用 CAP_NET_RAW 功能) 的本機使用者可利用此缺陷消耗核心環緩衝區的資源，甚或造成堆積的越界讀取，導致系統當機。(CVE-2017-1000111) - 在 Linux 核心網路子系統的 Netlink 功能中發現一個釋放後使用缺陷。因為 mq_notify 功能的清理不足，本機攻擊者可能會利用此缺陷提升自己在系統上的權限。(CVE-2017-11176) - 據發現，在 Linux 核心 v4.14-rc5 及之前版本中，如果 IO 向量具有屬於相同頁面的小型連續緩衝區，「block/bio.c」中的 bio_map_user_iov() 和 bio_unmap_user() 會為錯亂的頁面進行參照計數。bio_add_pc_page() 會將這些頁面合併為一個頁面，但是頁面參照永遠不會遭到卸除，進而造成記憶體洩漏，而且可能會因為記憶體不足情形而造成系統鎖定。(CVE-2017-12190) - 在 Linux 核心的 __tcp_select_window 函式中發現除以零弱點。這會造成核心錯誤，進而導致本機拒絕服務。(CVE-2017-14106) - 若應用程式在檔案中打出一個結尾未與頁面邊界對齊的洞，無權限的使用者就可在 RHEL 6 或 7 上掛接 fuse 檔案系統，並造成系統當機。(CVE-2017-15121) - 將 ioctl 發出至音效裝置時，發現一個釋放後使用弱點。使用者可藉此惡意利用爭用情形，並造成記憶體損毀，或可能提升權限。(CVE-2017-15265) - 4.14.3 版之前的 Linux 核心容易受到 drivers/md/dm.c:dm_get_from_kobject() 中拒絕服務的影響，這是本機使用者在建立和移除 DM 裝置時利用 __dm_destroy() 爭用情形所導致。只有有權限的本機使用者 (具備 CAP_SYS_ADMIN 能力) 可直接針對 dm 裝置建立和移除執行 ioctl 作業，這通常不在無權限攻擊者的直接掌控之內。(CVE-2017-18203) - 在 Linux 核心的連結層控制實作中發現一個導致 NULL 指標解除參照的爭用情形。可存取 ping socket 的本機攻擊者可利用此缺陷使系統當機。(CVE-2017-2671) - 據發現，針對 CVE-2016-6786 所做的原始修正並不完整。兩個並行 sys_perf_event_open() 呼叫之間有爭用情形 (兩方都嘗試將相同的既有軟體群組移入某硬體內容時)。(CVE-2017-6001) - 在 Linux 核心處理具有 URG 旗標的封包的方式中，發現一個缺陷。使用 splice() 及 tcp_splice_read() 功能的應用程式允許遠端攻擊者強迫核心進入無限迴圈的狀態。(CVE-2017-6214) - 因為在 Linux 核心版本 v3.9-rc1 到 v4.13-rc1 的 brcmf_cfg80211_mgmt_tx() 函式中發現緩衝區溢位，導致核心記憶體損毀。透過 netlink 傳送特製的 NL80211_CMD_FRAME 封包可觸發此弱點。此缺陷不太可能由遠端觸發，因為需要用到特定使用者空間程式碼。無權限的使用者可利用此缺陷，造成系統上的核心記憶體損毀，進而導致當機。雖然不太可能，但是由於缺陷的本質，無法完全排除權限提升狀況。(CVE-2017-7541) - 在 ip6_find_1stfragopt() 函式中發現整數溢位弱點。有權限 (具有 CAP_NET_RAW) 開啟原始通訊端的本機攻擊者可在 ip6_find_1stfragopt() 函式內造成無限迴圈。(CVE-2017-7542) - 在 Linux 核心中，「mm/mempolicy.c」的 set_mempolicy 和 mbind compat syscalls 中，不正確的錯誤處理允許本機使用者透過觸發特定點陣圖作業失敗，從未初始化的堆疊資料取得敏感資訊。(CVE-2017-7616) - 在 4.10.10 之前的 Linux 核心中，mm 子系統未正確強制執行 CONFIG_STRICT_DEVMEM 保護機制，本機使用者因而得以透過開啟 /dev/mem 檔案 (與 arch/x86/mm/init.c 和 drivers/char/mem.c 相關) 的應用程式來讀取或寫入第一個百萬位元組的核心記憶體位置 (並繞過 slab 配置存取限制)。(CVE-2017-7889) - Linux 核心中的 IPv6 片段實作未考慮到 nexthdr 欄位可能與無效的選項關聯，因此允許本機使用者造成拒絕服務 (越界讀取和錯誤) 或可能透過特製的通訊端和傳送系統呼叫，產生其他不明影響。雖然不太可能，但是由於缺陷的本質，無法完全排除權限提升狀況。(CVE-2017-9074) - 在 4.12 版、3.10 版、2.6 版 (更舊版本可能亦然) 的 Linux 核心中，音效系統內有爭用情形弱點，有心人士可藉以利用釋放後使用情形造成可能的鎖死和記憶體損毀，進而造成拒絕服務。雖然不太可能，但是由於缺陷的本質，無法完全排除權限提升狀況。(CVE-2018-1000004) - 在 Linux 核心中，net/dccp/output.c 的 dccp_write_xmit() 函式有 null 指標解除參照情形，本機使用者因而得以透過幾個特定的特製系統呼叫來造成拒絕服務。(CVE-2018-1130) - 現代的 Intel 微處理器實施硬體層級的微佳化，以提升將資料回寫入 CPU 快取的效能。寫入作業分成 STA (STore Address) 和 STD (STore Data) 子作業。這些子作業允許處理器將位址產生邏輯交給這些子作業，以便進行最佳化寫入。這些子作業都寫入名為「處理器儲存緩衝區」的共用分散式處理器結構中。因此，無權限的攻擊者可利用此缺陷讀取 CPU 處理器儲存緩衝區內的私密資料。(CVE-2018-12126) - 微處理器使用「載入埠」子元件從記憶體或 IO 執行載入作業。載入作業執行期間，載入埠會收到來自記憶體或 IO 子系統的資料，然後再將該筆資料提供給 CPU 管線中的 CPU 登錄和作業。過期的載入作業結果會儲存在「載入埠」表格中，直到被更新的作業覆寫止。攻擊者觸發的特定載入埠作業可用於洩漏與先前過期要求相關的資料，進而透過計時旁路將資料洩漏回給攻擊者。(CVE-2018-12127) - 在填補緩衝區 (在 L1 CPU 快取上建立 cache-miss 時，現代 CPU 使用的一種機制) 的實作中發現一個缺陷。若攻擊者可產生會造成頁面錯誤的載入作業，執行動作可能就會繼續推測執行來自填補緩衝區的不正確資料，同時從更高層級的快取擷取資料。可測量此反應時間，以推斷填埔緩衝區中的資料。(CVE-2018-12130) - 在 Linux 核心的 fs/inode.c:inode_init_owner() 函式邏輯中發現一個弱點，當目錄是 SGID 且隸屬於特定群組，並可由非此群組成員的使用者寫入時，本機使用者可藉此弱點建立具有非預定群組所有權、且具有群組執行和 SGID 權限位元集的檔案。這可能導致系統給予原本不應該給予的過多權限。(CVE-2018-13405) - 在 Linux 核心於作業切換期間儲存和還原 FPU 狀態的方式中，發現一個浮點單位 (FPU) 狀態資訊洩漏缺陷。遵循「延遲的 FPU 還原」配置的 Linux 核心容易發生 FPU 狀態資訊洩漏問題。無權限的本機攻擊者可利用此缺陷藉由發動目標式快取旁路攻擊來讀取 FPU 狀態位元，與今年稍早公佈的 Meltdown 弱點類似。(CVE-2018-3665) - _sctp_make_chunk() 函式 (net/sctp/sm_make_chunk.c) 中的錯誤在處理 SCTP 時，惡意本機使用者可惡意利用封包長度，造成核心損毀和 DoS。(CVE-2018-5803) - 若第一次寫入時集區是空的，ALSA 排序器核心會視需要叫用 snd_seq_pool_init()，藉此初始化事件集區。使用者可同時透過 ioctl 手動重設集區大小，而這樣會導致 UAF 或越界存取。(CVE-2018-7566) - 某些微處理器上利用推測執行的非緩存記憶體可能允許經驗證的使用者以本機存取權限透過旁路洩漏資訊。(CVE-2019-11091) 請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。