表題の通り Linux Kernel に付いた CVE-2018-5390 / SegmentSmack の PoC を書いて検証・観察をしていた
VirtualBox で CVE-2018-5390 SegmentSmack を再現できたぽい? ( si = software interrupts が 100% 近くで張り付く + tcp_collapse_ofo_queue() を呼び出してる ). ローカルで PoC 実行で、 PoC の CPU消費も混じってそうなので VM 2台にしてちゃんとやってみよう pic.twitter.com/jKsDbj7LIK
— ito hiroya (@hiboma) October 2, 2018
問題の再現は何とかできたが、 exploit = 悪用可能なレベルまでのコードを書くのが難しい ( 悪用厳禁 )
2018年8月に SegmentSmack として騒ぎになった CVE です
続きを読む↑ のようなエントリを書いていたが、0.100.2 がリリースされて次の展開を見せた
On-Access "Extra Scanning," an opt-in minor feature of OnAccess scanning on Linux systems, has been disabled due to a known issue with resource cleanup OnAccessExtraScanning will be re-enabled in a future release when the issue is resolved. In the mean-time, users who enabled the feature in clamd.conf will see a warning informing them that the feature is not active. For details, click here.
OnAccessExtraScanning は一旦 0.100.2 で disabled ( warning が出て機能は動かない) になり、また未来の featrure リリースで復活するそうです
名前が載って嬉しいね 🤗
表題の通り CVE-2017-18017 の PoC を書いてどのような影響があるのを検証・観察した
一年以上前に修正パッチが出ている CVE です
The tcpmss_mangle_packet function in net/netfilter/xt_TCPMSS.c in the Linux kernel before 4.11, and 4.9.x before 4.9.36, allows remote attackers to cause a denial of service (use-after-free and memory corruption) or possibly have unspecified other impact by leveraging the presence of xt_TCPMSS in an iptables action.
iptables で TCPMSS ターゲット ( --set-mss または --clamp-mss-to-pmtu ) を使っているホストに、細工した TCPヘッダを投げつけると use-after-free やメモリの破壊等々が起こせる
CVSS3 の Base Score が 9.8 と高い 🔥
続きを読む2018年3月に ClamAV のバグレポートを出していた
最近、進捗があったようで、以下のようなコメントをもらった
Due to time constraints in the development process for version 0.101, OnAccessExtraScanning will be disabled in the upcoming 0.100.1 patch release and the 0.101.0 feature release. When we're able to dedicate the time to fix the issue, we'll include it in the next patch or feature release. 注意: `0.101` と書いてあるのは `0.100.2` の間違い
ref: https://bugzilla.clamav.net/show_bug.cgi?id=12048#c4
OnAccessExtraScanning は diabled になる ( 機能自体が取り払われるのかな? )ということだ。
リポジトリのコミットを見ると修正がなされているようだが、まだ時間がかかるらしい 🍵
表題の通り CVE-2018-12232 の PoC を書いてどのような影響があるのを検証・観察した
CVE-2018-12232 は Linux Kernel に付いた CVE です
In net/socket.c in the Linux kernel through 4.17.1, there is a race condition between fchownat and close in cases where they target the same socket file descriptor, related to the sock_close and sockfs_setattr functions. fchownat does not increment the file descriptor reference count, which allows close to set the socket to NULL during fchownat's execution, leading to a NULL pointer dereference and system crash.
net/socket.c in のレースコンディションで NULL ポインタ参照が起きてカーネルパニックします
続きを読む
