CSIRT Panamá Aviso 2016-04 – Dirty COW
Gravedad: Crítica
Fecha de publicación: Octubre 21, 2016
Fecha de modificación: Octubre 21, 2016
Última revisión: Revisión A.
Fuente: dirtycow.ninja
Sistemas Afectados
Sistemas operativos Linux y dispositivos Android.
I. Descripción
El explotar ésta vulnerabilidad permitiría que un usuario local sin privilegios pueda escalar sus privilegios en el sistema y ganar acceso de escritura en actualizaciones de memoria que solo son de lectura. Esto significa que un usuario que no sea administrador (root) podría escribir código aleatorio sobre cualquier archivo del sistema, que podría incluir archivos de los usuarios (cambiar sus contraseñas y privilegios), e incluso permitir la ejecución de una puerta trasera para posterior acceso remoto.
Debe su nombre “COW” (vaca en inglés) por las iniciales del mecanismo que es afectado: copy-on-write (copia en escritura), en la forma en que el núcleo Linux administra las páginas de memoria “sucias” (dirty). Ésta vulnerabilidad está presente de manera pública desde el 2007, pero fué corregida el 18 de octubre del presente año 2016, a través de la actualización de los sistemas.
Si el servidor o máquina virtual o contenedor presenta las siguientes versiones de sistema operativos, entonces son vulnerables:
– Red Hat Enterprise Linux 7.x, 6.x y 5.x.
– CentOS Linux 7.x, 6.x y 5.x.
– Debian Linux wheezy, jessie, stretch y sid.
– Ubuntu Linux precise (LTS 12.04), trusty, xenial (LTS 16.04), yakkety y vivid/ubuntu-core.
– SUSE Linux Enterprise 11 y 12.
Como existen millones de distribuciones de Linux que derivan de las principales raíces es importante revisar que la versión del núcleo de Linux sea igual a:
– 4.8.0-26.28 para Ubuntu 16.10.
– 4.4.0-45.66 para Ubuntu 16.04 LTS.
– 3.13.0-100.147 oara Ubuntu 14.04 LTS.
– 3.2.0-113.155 para Ubuntu 12.04 LTS.
– 3.16.36-1+deb8u2 para Debian 8.
– 3.2.82-1 para Debian 7.
– 4.7.8-1 para Debian unstable.
Por lo que todas las versiones del núcleo de Linux menores que las listadas son vulnerables a Dirty COW. La solución se presenta en la actualización del núcleo de Linux.
Es importante notar que los dispositivos Android utilizan el núcleo Linux, por lo que también son vulnerables. Solo los dispositivos Android que reciben actualizaciones de seguridad recientes post-venta tendrían la corrección del núcleo de Linux.
II. Impacto
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total del sistema.
III. Referencia a soluciones, herramientas e información
a. https://dirtycow.ninja
b. https://access.redhat.com/security/cve/cve-2016-5195
c. https://security-tracker.debian.org/tracker/CVE-2016-5195
d. people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html
e. https://www.suse.com/security/cve/CVE-2016-5195.html
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)
mQENBE8C9KoBCAClkvrtdD08B1YgIntnK241GmWY7fRWtPn/QIEG1+TLokEuOhw+
Gq/lK/4NP9RzqpD57LcRUBiGgTmO/5C9xkhVmxz2jid0h03fLorC84rAk2pOjr0i
pbltETq9RCGhOWp13OV22x2yiIedBi05bzw3F+uLHhn9xKjmpBuZB6WO/TuD52DH
KRZtwSvoaa61vL0bGnIf3lNGWkALWEC3lGBppby4D05N2FNfgfOFr1yOpxTaRaDh
4kOnoAEWVzppkTPyqSOkwXmgdma8D9yqD41Ffu8ypGTv+OOVO7jDq8tx9wVZEU+w
pqBTzQcf0P0K7qO3igdHQxqHmqXsaJpbmvCBABEBAAG0KkNTSVJUIFBhbmFtYSAo
Q1NJUlQgUGFuYW1hKSA8aW5mb0BjZXJ0LnBhPokBOAQTAQIAIgUCTwL0qgIbDwYL
CQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ2YlXchbysSSPSQgAooUy3qSR/YX2
H3USJ5VzrmnraHg5LIWRPIBD1PGrswjLE8hxdobPU/uzi9LWnEcDscfFVKM/K0Jt
bjeoESqCVFlpE0YXJWdDhy0m2WM410sDE2HVXbPhWGqrNeDb0VUV/LWag1yYTj5w
kkxma4Tk5TqlhgL5su2PpjtTdFSHYD4N+4mu7g1GhRrrpz+u7ZRm3b/WkAJg5FIg
U0MpPqUGAF5/pc02ZB10FdxDwWyXAkwYUN+zfLiKzKOrBGkEw9+jvFGU+z76P9Zk
1XJIexpmkBYTxc+TOclhAp/3HP4taoBHRMoR1q1YhdC++UgRSLmPLGn/AB707JzN
Q80++q2kWQ==
=JUYg
—–END PGP PUBLIC KEY BLOCK—–