0x00 概述
2018年3月,网上爆出ubuntu本地提权漏洞CVE-2017-16995的exp,这个漏洞是ebpf验证器计算错误导致的任意内存读写,使得攻击者获取root权限,据说这个exp十分犀利,秒aws秒阿里。
该exp地址:http://cyseclabs.com/exploits/upstream44.c
0x01 影响范围
Ubuntu 内核4.14-4.4(据说debian也受影响,但本人未发现成功的案例)
0x02 漏洞重现
测试环境:ubuntu 16.04 kernel 4.4.0-105
0x03 修复方案
- 修改内核参赛限制普通用户对bpf2的调用
echo 1 > /proc/sys/kernel/unprivileged_bpf_disabled
- 升级内核版本到4.0-117
0x04 相关分析
若想深入了解该漏洞,可以参考以下资料
https://cert.360.cn/report/detail?id=ff28fc8d8cb2b72148c9237612933c11
https://xianzhi.aliyun.com/forum/topic/2212
0x05 参考资料
http://cyseclabs.com/exploits/upstream44.c
www.freebuf.com/news/165608.html
https://cert.360.cn/warning/detail?id=119f849891f2a1b5deef65f99923ab5a