ABRT 漏洞 CVE-2015-1862 和 CVE-2015-3315
2015 年 4 月 14 日披露的一些问题会影响到 ABRT,其中包括 CVE-2015-1862 和 CVE-2015-3315。CVE-2015-1862 不影响 Red Hat 产品中使用的 ABRT 版本,同时您可以在 Bug 1211223 查看相关信息。CVE-2015-3315 报告的缺陷如 Bug 1211835 所述,这些缺陷会影响 Red Hat Enterprise Linux 6 和 7.
背景资料
在某些 ABRT core 句柄处理名称空间环境中崩溃报告的方法发现一个缺陷。本地、非特权用户可利用这个缺陷在该系统中升级其权限。这个问题的 CVE ID 为 CVE-2015-1862,同时它不会影响 Red Hat 产品中的 ABRT 版本。
在 ABRT 处理 proc 文件系统中日志文件和信息消耗的方法中发现很多与使用符号链接及为所创建文件设置权限有关的竞争条件。在 CVE-2015-3315 中对这些问题进行了分组,同时存在一个公开的漏洞,即在默认 Red Hat Enterprise Linux 7 安装中有可让本地权限升级至 root。
影响
ABRT(自动 Bug 报告工具)是一个非关键系统服务,可通过自动收集有关用户空间进程崩溃的信息,并自选向 Red Hat 报告而提高可服务性。在有些 Red Hat 产品中包括该工具,并默认启用。
Red Hat Enterprise Linux 4 和 Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 4 和 5 不包括 ABRT,因此这些问题不会影响这些系统。
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 6 is 中的 abrt 软件包会受部分问题的影响,但只允许将授权从本地系统用户 "abrt" 升级,因此这个缺陷被视为有 中度 影响。不使用本地用户 "abrt" 进行互动登录会话,默认情况下在产品中这个用户是被禁用的。
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 7 is 中的 abrt 软件包会受部分问题的影响,同时允许本地权限升级到 root。这个问题等级为 重要,目前正进行更新。
解决方案
目前正在更新 Red Hat Enterprise Linux 7。要消除可能的渗透,请在您的系统中尽快安装更新的 ABRT 软件包。
目前为 Red Hat Enterprise Linux 6 提供更新不是首要任务,因为这个问题只被评级为对那个版本有中度影响。
解决问题的步骤
ABRT 不是一个关键系统服务,同时管理员可以在部署更新前安全地禁用 corefile 集合。下面的命令可停止并禁用这些服务,直到管理员明确启用并启动该服务。
Red Hat Enterprise Linux 6:
# service abrt-ccpp stop
# service abrtd stop
# chkconfig abrt-ccpp off
# chkconfig abrtd off
Red Hat Enterprise Linux 7:
# systemctl stop abrt-ccpp
# systemctl stop abrtd
# systemctl disable abrt-ccpp
# systemctl disable abrtd
Comments