Vulnerabilidades ABRT CVE-2015-1862 y CVE-2015-3315
El 14 de abril de 2015 se divulgó una serie de problemas que afectan ABRT, incluidos CVE-2015-1862 y CVE-2015-3315. CVE-2015-1862 no afecta las versiones de ABRT distribuidas en los productos de Red Hat, y se puede obtener más información en Bug 1211223. Los fallos reportados en CVE-2015-3315 se describen en Bug 1211835 y afectan a Red Hat Enterprise Linux 6 y 7.
Información de fondo
Se encontró un error en la forma como algunos manejadores de núcleo ABRT procesaron los reportes de fallos en un entorno namespaced. Un usuario local, sin privilegios podría usar este fallo para escalar sus privilegios en el sistema. Este problema tiene un CVE ID de CVE-2015-1862 y no afecta versiones de ABRT distribuidas en productos Red Hat.
Se encontraron una serie de condiciones de carrera relacionadas con el uso de enlaces simbólicos y los permisos en archivos creados en la forma en que ABRT se ocupa de los archivos de registro e información consumida desde el sistema de archivos proc. Estos problemas han sido agrupados en CVE-2015-3315, y existe un ataque público que permite escalamiento de privilegios locales a root en instalaciones predeterminadas de Red Hat Enterprise Linux 7.
Impacto
ABRT (Herramienta automática de reporte de errores) es un servicio de sistema no esencial que aumenta la capacidad del servicio al recolectar automáticamente información sobre fallos en procesos de espacio de usuario y opcionalmente, reportarlos a Red Hat. Se incluye y habilita de forma predeterminada en algunos productos Red Hat.
Red Hat Enterprise Linux 4 y Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 4 y 5 no incluyen ABRT, y como tal, no son vulnerables a estos problemas.
Red Hat Enterprise Linux 6
El paquete abrt
en Red Hat Enterprise Linux 6 es vulnerable a algunos de los problemas, pero solo otorga escalamiento de privilegios desde el usuario del sistema local "abrt", por lo tanto, este fallo se considera de impacto Moderado. El usuario del sistema local "abrt" no se utiliza para sesiones de inicio interactivas y se distribuye como un usuario inactivo de forma predeterminada.
Red Hat Enterprise Linux 7
El paquete abrt
en Red Hat Enterprise Linux 7 es vulnerable a algunos problemas y otorga escalamiento de privilegios locales a root. Este problema se califica como Importante y una actualización está en curso.
Resolución
Hay una actualización para Red Hat Enterprise Linux 7 en curso. Para eliminar la posibilidad de un ataque, instale un paquete actualizado ABRT en su sistema tan pronto como esté disponible.
En este momento, no es prioridad actualizar Red Hat Enterprise Linux 6, ya que el problema se considera únicamente de impacto moderado en esa versión.
Pasos de mitigación
ABRT no es un servicio de sistema esencial, y la colección corefile puede ser inhabilitada con seguridad por el administrador hasta que se implementen las actualizaciones. Los comandos a continuación, detienen e inhabilitan el servicio hasta que sea habilitado e iniciado explícitamente por el administrador.
Red Hat Enterprise Linux 6:
# service abrt-ccpp stop
# service abrtd stop
# chkconfig abrt-ccpp off
# chkconfig abrtd off
Red Hat Enterprise Linux 7:
# systemctl stop abrt-ccpp
# systemctl stop abrtd
# systemctl disable abrt-ccpp
# systemctl disable abrtd
Comments