Poważna luka bezpieczeństwa w systemie Raspberry Pi i Androidzie

 Poważna luka bezpieczeństwa w systemie Raspberry Pi i Androidzie
Inżynierowie Google, podczas testów bezpieczeństwa, wykryli poważną lukę w systemach operacyjnych z jądrem linuksa starszym niż wersja 4.5. W praktyce dotyczy to niemal każdego opartego na linuksie systemu operacyjnego, wydanego wcześniej niż w połowie kwietnia 2017 roku - w tym Androida, Debiana i opartego na Debianie - Raspbiana (choć kilka systemów, takich jak np. RHEL jest bezpiecznych).

Luka została oznaczona jako CVE-2016-10229 i oceniona na 10/10 punktów w skali zagrożenia. Pozwala atakującemu na wysłanie nieuwierzytelnionego pakietu sieciowego UDP, którego skutkiem będzie wykonanie przesłanego kodu z uprawnieniami jądra.

Inaczej mówiąc - atakujący może bez wcześniejszego przygotowania całkowicie przejąć kontrolę nad zdalną maszyną, podłączoną do sieci. Błąd został zlokalizowany w pliku udp.c, odpowiadającym za ruch sieciowy UDP, w linijkach odpowiedzialnych za obliczanie sum kontrolnych z użyciem systemowego polecenia recv, ale jedynie z włączoną flagą MSG_PEEK.

Pocieszeniem jest to, że flaga ta jest względnie rzadko wykorzystywana przez oprogramowanie, ale i tak pojawia się w kodach programów, które mogły zostać zainstalowane na popularnych komputerkach jednopłytkowych, takich jak Raspberry Pi, a nawet w systemach przemysłowych!

Jej użycie pojawia się m.in. w kodzie takich popularnych programów jak nginx (serwer www), curl (program do wysyłania żądań http/https do zdalnych serwerów), lynx (tekstowa przeglądarka internetowa), plex/kodi/xbmc (kombajny multimedialne) i busybox (lekki zestaw narzędzi systemowych).

Zalecamy jak najszybszą aktualizację jądra Linuksa systemów wbudowanych (i wszelkich innych komputerów) do wersji niewrażliwej na opisany błąd. Listę jąder linuksa z błędem można znaleźć tu: http://www.securityfocus.com/bid/97397.

Elektronika Praktyczna Plus lipiec - grudzień 2012

Elektronika Praktyczna Plus

Monograficzne wydania specjalne

Elektronik wrzesień 2021

Elektronik

Magazyn elektroniki profesjonalnej

Raspberry Pi 2015

Raspberry Pi

Wykorzystaj wszystkie możliwości wyjątkowego minikomputera

Świat Radio wrzesień - październik 2021

Świat Radio

Magazyn krótkofalowców i amatorów CB

Automatyka Podzespoły Aplikacje wrzesień 2021

Automatyka Podzespoły Aplikacje

Technika i rynek systemów automatyki

Elektronika Praktyczna wrzesień 2021

Elektronika Praktyczna

Międzynarodowy magazyn elektroników konstruktorów

Elektronika dla Wszystkich wrzesień 2021

Elektronika dla Wszystkich

Interesująca elektronika dla pasjonatów