Poważna luka bezpieczeństwa w systemie Raspberry Pi i Androidzie

 Poważna luka bezpieczeństwa w systemie Raspberry Pi i Androidzie
Inżynierowie Google, podczas testów bezpieczeństwa, wykryli poważną lukę w systemach operacyjnych z jądrem linuksa starszym niż wersja 4.5. W praktyce dotyczy to niemal każdego opartego na linuksie systemu operacyjnego, wydanego wcześniej niż w połowie kwietnia 2017 roku - w tym Androida, Debiana i opartego na Debianie - Raspbiana (choć kilka systemów, takich jak np. RHEL jest bezpiecznych).

Luka została oznaczona jako CVE-2016-10229 i oceniona na 10/10 punktów w skali zagrożenia. Pozwala atakującemu na wysłanie nieuwierzytelnionego pakietu sieciowego UDP, którego skutkiem będzie wykonanie przesłanego kodu z uprawnieniami jądra.

Inaczej mówiąc - atakujący może bez wcześniejszego przygotowania całkowicie przejąć kontrolę nad zdalną maszyną, podłączoną do sieci. Błąd został zlokalizowany w pliku udp.c, odpowiadającym za ruch sieciowy UDP, w linijkach odpowiedzialnych za obliczanie sum kontrolnych z użyciem systemowego polecenia recv, ale jedynie z włączoną flagą MSG_PEEK.

Pocieszeniem jest to, że flaga ta jest względnie rzadko wykorzystywana przez oprogramowanie, ale i tak pojawia się w kodach programów, które mogły zostać zainstalowane na popularnych komputerkach jednopłytkowych, takich jak Raspberry Pi, a nawet w systemach przemysłowych!

Jej użycie pojawia się m.in. w kodzie takich popularnych programów jak nginx (serwer www), curl (program do wysyłania żądań http/https do zdalnych serwerów), lynx (tekstowa przeglądarka internetowa), plex/kodi/xbmc (kombajny multimedialne) i busybox (lekki zestaw narzędzi systemowych).

Zalecamy jak najszybszą aktualizację jądra Linuksa systemów wbudowanych (i wszelkich innych komputerów) do wersji niewrażliwej na opisany błąd. Listę jąder linuksa z błędem można znaleźć tu: http://www.securityfocus.com/bid/97397.

Elektronika Praktyczna Plus lipiec - grudzień 2012

Elektronika Praktyczna Plus

Monograficzne wydania specjalne

Elektronik lipiec 2020

Elektronik

Magazyn elektroniki profesjonalnej

Raspberry Pi 2015

Raspberry Pi

Wykorzystaj wszystkie możliwości wyjątkowego minikomputera

Świat Radio lipiec 2020

Świat Radio

Magazyn użytkowników eteru

APA - Automatyka Podzespoły Aplikacje lipiec 2020

APA - Automatyka Podzespoły Aplikacje

Technika i rynek systemów automatyki

Elektronika Praktyczna lipiec 2020

Elektronika Praktyczna

Międzynarodowy magazyn elektroników konstruktorów

Praktyczny Kurs Elektroniki 2018

Praktyczny Kurs Elektroniki

24 pasjonujące projekty elektroniczne

Elektronika dla Wszystkich czerwiec 2020

Elektronika dla Wszystkich

Interesująca elektronika dla pasjonatów