企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    近日，奇安信CERT监测到LinuxkernelTIPC任意代码执行漏洞(CVE-2021-43267)的漏洞细节和EXP已在互联网公开。漏洞存在于Linux内核中的net/tipc/crypto.c中，由于LinuxKernelTIPC模块对用户提供的MSG_CRYPTO消息类型大小验证不足，攻击者可以利用此漏洞在目标者系统上以ROOT权限执行任意代码。鉴于漏洞危害较大且漏洞细节和EXP已公开，建议用户及时升级版本。

    当前漏洞状态

    漏洞描述

    TIPC作为内核模块实现，存在于所有主要Linux发行版中。它可以配置为通过UDP或直接通过以太网传输消息。消息传递是顺序保证、无丢失和流控制的。延迟时间比任何其他已知协议都短，而最大吞吐量可与TCP相媲美。主要应用在集群上。

    Linux内核中的net/tipc/crypto.c中存在漏洞。由于LinuxKernelTIPC模块对用户提供的MSG_CRYPTO消息类型大小验证不足，攻击者可以利用此漏洞在目标者系统上以ROOT权限执行任意代码。

    1、CVE-2021-43267LinuxKernelTIPC任意代码执行漏洞

    鉴于此漏洞细节及EXP已在互联网公开，建议客户尽快自查修复。公开的EXP仅适用于特定版本的系统，攻击者需要针对目标系统制作相应的漏洞利用程序。奇安信CERT第一时间验证此漏洞EXP，复现截图如下：

    风险等级

    奇安信CERT风险评级为：高危

    风险等级：蓝色（一般事件）

    影响范围

    5.10

    处置建议

    LinuxKernel升级到5.14.16

    参考资料

    [1]https://www.sentinelone.com/labs/tipc-remote-linux-kernel-heap-overflow-allows-arbitrary-code-execution/

    [2]https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.14.16

    [3]https://github.com/torvalds/linux/commit/fa40d9734a57bcbfa79a280189799f76c88f7bb0

    [4]https://haxx.in/files/blasty-vs-tipc.c

    时间线

    2021年11月27日，奇安信CERT发布安全风险通告

    到奇安信NOX-安全监测平台查询更多漏洞详情

    奇安信CERT长期招募安全研究员