Vulnérabilités ABRT CVE-2015-1862 et CVE-2015-3315
Un certain nombre de vulnérabilités qui affectent ABRT ont été révélées le 14 avril 2015, comprenant CVE-2015-1862 et CVE-2015-3315. CVE-2015-1862 n'affecte aucune des versions ABRT qui se trouvent dans les produits Red Hat, et vous pourrez trouver des informations supplémentaires dans Bug 1211223. Les défauts qui ont été rapportés dans CVE-2015-3315 sont décrits dans Bug 1211835 et affectent à la fois Red Hat Enterprise Linux 6 et 7.
Historique
On a trouvé qu'il y avait un défaut dans la façon dont certains gestionnaires de base ABRT traitent les rapport d'incidents dans un environnement namespaced. Un utilisateur local non privilégié pouvait tirer avantage de ce défaut pour augmenter son niveau de privilège sur le système. Ce problème a une CVE ID de CVE-2015-1862 et n'affecte pas les versions ABRT fournies dans les produits Red Hat.
On a trouvé un certain nombre de conditions de concurrence liées à l'utilisation de liens symboliques et à la configuration des permissions sur les fichiers créés dans la façon dont ABRT traite les fichiers de journalisation et les informations consommées dans le système de fichiers proc. Ces problèmes on été regroupés dans CVE-2015-3315, et il existe un code public malveillant d'exploitation des failles de sécurité permettant l'escalation du privilège local au niveau de privilège racine sur les installations Red Hat Enterprise Linux 7 par défaut.
Impact
ABRT (Automatic Bug-Reporting Tool) est un service non-essentiel de système qui est là pour améliorer la maintenance du système en collectant des informations sur les incidents de processus de l'espace utilisateur et en les rapportent éventuellement à Red Hat. Ce service est inclus et activé par défaut dans certains produits Red Hat.
Red Hat Enterprise Linux 4 et Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 4 et 5 n'inclut pas ABRT, et ne sont donc pas vunérables à ce problème.
Red Hat Enterprise Linux 6
Le package abrt de Red Hat Enterprise Linux 6 est vulnérable à certains problèmes, mais n'autorise l'escalation des privilèges que de la part de l'utilisateur de système local "abrt". De ce fait, le défaut est considéré comme ayant un impact modéré Moderate. L'utilisateur de système local "abrt" n'est pas utilisé pour les sessions de connexion interactives et il est fourni comme utilisateur désactivé par défaut.
Red Hat Enterprise Linux 7
Le package abrt de Red Hat Enterprise Linux 7 est vulnérable à certains problèmes, et permet l'escalation des privilèges au niveau racine. De ce fait, le défaut est considéré important Important et une mise à jour est en cours.
Résolution
Une mise à jour est en cours pour Red Hat Enterprise Linux 7. Pour éliminer le risque d'exploitation, installer un package ABRT mis à jour sur votre système dès qu'il sera disponible.
Une mise à jour de Red Hat Enterprise Linux 6 n'est pas une priorité pour l'instant, car on considère que le problème a un impact modéré [Moderate] uniquement sur cette version.
Étapes préventatives pour diminuer le risque
ABRT n'est pas un service essentiel de système, et corefile collection peut être désactivé en toute sécurité par l'administrateur en attente des mises à jour. Les commandes ci-dessous stoppent et désactiveront le service jusqu'à ce qu'il soit à nouveau activé et redémarré explicitement par l'administrateur.
Red Hat Enterprise Linux 6 :
# service abrt-ccpp stop
# service abrtd stop
# chkconfig abrt-ccpp off
# chkconfig abrtd off
Red Hat Enterprise Linux 7:
# systemctl stop abrt-ccpp
# systemctl stop abrtd
# systemctl disable abrt-ccpp
# systemctl disable abrtd
Comments