СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Уязвимости
ФСТЭК России
18.08.2019
#ИБ

Уязвимость BDU:2020-01028

Уязвимость BDU:2020-01028

Идентификатор: BDU:2020-01028.

Наименование уязвимости: Уязвимость декодера AVX2 ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость декодера AVX2 ядра операционной системы Linux существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Уязвимое ПО: Операционная система Linux — |

Наименование ОС и тип аппаратной платформы: Linux — |
Дата выявления: 18.08.2019.
CVSS 2.0: AV:L/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению:
Компенсирующие меры:
— включение DEP для предотвращения выполнения кода на участках памяти, которые предназначены для хранения данных. В Linux поддержка DEP реализована через использование флага NX на процессорах, поддерживающих данную функцию. Ядро системы управляет включением DEP, а настраивается это через разметку прав доступа к страницам памяти.
Пример настройки в Linux:

cat /proc/cpuinfo | grep nx
Если CPU поддерживает DEP, флаг nx будет указан. DEP включается автоматически на современных ядрах.



— использование ASLR. В Linux поддержка ASLR включена по умолчанию начиная с версии ядра 2.6.12. Статус ASLR можно проверить и настроить через файл /proc/sys/kernel/randomize_va_space:

0 — ASLR отключен.

1 — Рандомизация для стека и динамических библиотек.

2 — Полная рандомизация (включая исполняемый код и кучу)
Пример настройки:
Чтобы убедиться, что ASLR включен:


cat /proc/sys/kernel/randomize_va_space
Если результат — 2, значит включена полная рандомизация.



— использование CPU без поддержки AVX2;
— включение технологий виртуализации (например, VT-x/AMD-V) и внедрение гипервизоров, которые могут отслеживать выполнение кода на более низком уровне и блокировать попытки выполнения вредоносных инструкций;
— внедрение политики W^X (Write XOR Execute);
— использование EMET (Enhanced Mitigation Experience Toolkit) или аналогов;
— мониторинг и контроль целостности памяти..
Статус уязвимости: Потенциальная уязвимость
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: 47292.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.exploit-db.com/exploits/47292
https://exploit.kitploit.com/2019/08/linuxx8664-avx2-xor-decoder-execvebinsh.html
https://dl.packetstormsecurity.net/shellcode/linuxx8664ax2-shellcode.txt

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: