时间:2021-11-26 作者:奇安信CERT
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
近日,奇安信CERT监测到LinuxkernelTIPC任意代码执行漏洞(CVE-2021-43267)的漏洞细节和EXP已在互联网公开。漏洞存在于Linux内核中的net/tipc/crypto.c中,由于LinuxKernelTIPC模块对用户提供的MSG_CRYPTO消息类型大小验证不足,攻击者可以利用此漏洞在目标者系统上以ROOT权限执行任意代码。鉴于漏洞危害较大且漏洞细节和EXP已公开,建议用户及时升级版本。
当前漏洞状态
漏洞描述
TIPC作为内核模块实现,存在于所有主要Linux发行版中。它可以配置为通过UDP或直接通过以太网传输消息。消息传递是顺序保证、无丢失和流控制的。延迟时间比任何其他已知协议都短,而最大吞吐量可与TCP相媲美。主要应用在集群上。
Linux内核中的net/tipc/crypto.c中存在漏洞。由于LinuxKernelTIPC模块对用户提供的MSG_CRYPTO消息类型大小验证不足,攻击者可以利用此漏洞在目标者系统上以ROOT权限执行任意代码。
1、CVE-2021-43267LinuxKernelTIPC任意代码执行漏洞
鉴于此漏洞细节及EXP已在互联网公开,建议客户尽快自查修复。公开的EXP仅适用于特定版本的系统,攻击者需要针对目标系统制作相应的漏洞利用程序。奇安信CERT第一时间验证此漏洞EXP,复现截图如下:
风险等级
奇安信CERT风险评级为:高危
风险等级:蓝色(一般事件)
影响范围
5.10
处置建议
LinuxKernel升级到5.14.16
参考资料
[1]https://www.sentinelone.com/labs/tipc-remote-linux-kernel-heap-overflow-allows-arbitrary-code-execution/
[2]https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.14.16
[3]https://github.com/torvalds/linux/commit/fa40d9734a57bcbfa79a280189799f76c88f7bb0
[4]https://haxx.in/files/blasty-vs-tipc.c
时间线
2021年11月27日,奇安信CERT发布安全风险通告
到奇安信NOX-安全监测平台查询更多漏洞详情
奇安信CERT长期招募安全研究员
95015服务热线
微信公众号