Vigil@nce - Noyau Linux : corruption de mémoire via proc pid mem
février 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut utiliser /proc/$pid/mem, pour modifier la
mémoire d’un processus, afin d’élever ses privilèges.
Gravité : 2/4
Date création : 18/01/2012
Dates révisions : 20/01/2012, 23/01/2012
PRODUITS CONCERNÉS
– Fedora
– Linux noyau
– Red Hat Enterprise Linux
DESCRIPTION DE LA VULNÉRABILITÉ
Le fichier /proc/$pid/mem permet d’accéder à la mémoire d’un
processus. Un utilisateur peut lire /proc/$pid/mem afin de lire la
mémoire du processus $pid, mais il ne devrait pas être autorisé à
écrire dans la mémoire.
La fonction mem_write() du fichier fs/proc/base.c était commentée,
afin que les utilisateurs ne puissent pas modifier la mémoire en
écrivant dans /proc/$pid/mem. Cependant, en mars 2011 (2.6.39), la
fonction mem_write() a été décommentée. Depuis, un utilisateur
peut donc modifier la mémoire d’un processus en cours d’exécution.
Si l’attaquant choisit un processus privilégié (suid root), il
peut ainsi acquérir des droits élevés.
Un attaquant local peut donc utiliser /proc/$pid/mem, pour
modifier la mémoire d’un processus, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Noyau-Linux-corruption-de-memoire-via-proc-pid-mem-11300