CVE-2014-1737

Опубликовано: 07 мая 2014

Источник: redhat

CVSS2: 6.6

EPSS Низкий

Уязвимость в функции "raw_cmd_copyin" драйвера флоппи-дисков в ядре Linux, позволяющая локально выполнять операции "kfree" и повышать привилегии

Описание

Обнаружена уязвимость в функции raw_cmd_copyin в файле drivers/block/floppy.c ядра Linux. Проблема связана с некорректной обработкой условий ошибок при выполнении вызова ioctl с командой FDRAWCMD. Это позволяет локальным пользователям, имеющим права записи на устройство /dev/fd, инициировать операции kfree для освобождения произвольных областей памяти ядра и, как следствие, повысить свои привилегии.

Детали уязвимостей:

CVE-2014-1737 (Важная): Обнаружено, что драйвер флоппи-дисков в ядре Linux некорректно обрабатывал данные, предоставленные пользовательским пространством, в определённых путях обработки ошибок при выполнении команды FDRAWCMD. Локальный пользователь с доступом на запись к /dev/fdX мог использовать эту уязвимость для освобождения произвольных областей памяти ядра с помощью функции kfree().
CVE-2014-1738 (Умеренная): Было выявлено, что драйвер флоппи-дисков в ядре Linux раскрывал адреса внутренней памяти ядра пользовательскому пространству во время обработки команды FDRAWCMD. Локальный пользователь с доступом на запись к /dev/fdX мог использовать эту уязвимость для получения информации о размещении объектов в куче ядра.

Примечание: Локальный пользователь с доступом на запись к /dev/fdX мог комбинировать эти две уязвимости (CVE-2014-1737 и CVE-2014-1738) для повышения своих привилегий в системе.

Затронутые версии ПО

Ядро Linux до версии 3.14.3

Тип уязвимости

Некорректная обработка ошибок
Раскрытие информации
Повышение привилегий

Идентификаторы

CVE-2014-1737 (Важная)
CVE-2014-1738 (Умеренная)

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux Extended Update Support 5.6	kernel	Affected
Red Hat Enterprise Linux Extended Update Support 6.3	kernel	Affected
Red Hat Enterprise Linux 5	kernel	Fixed	RHSA-2014:0740	10.06.2014
Red Hat Enterprise Linux 5.6 Long Life	kernel	Fixed	RHSA-2014:0801	26.06.2014
Red Hat Enterprise Linux 5.9 Extended Update Support	kernel	Fixed	RHSA-2014:0772	19.06.2014
Red Hat Enterprise Linux 6	kernel	Fixed	RHSA-2014:0771	19.06.2014
Red Hat Enterprise Linux 6.2 Advanced Update Support	kernel	Fixed	RHSA-2014:0800	26.06.2014
Red Hat Enterprise Linux 6.4 Extended Update Support	kernel	Fixed	RHSA-2014:0900	17.07.2014
Red Hat Enterprise Linux 7	kernel	Fixed	RHSA-2014:0786	24.06.2014
Red Hat Enterprise MRG 2	kernel-rt	Fixed	RHSA-2014:0557	27.05.2014

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

https://bugzilla.redhat.com/show_bug.cgi?id=1094299kernel: block: floppy: privilege escalation via FDRAWCMD floppy ioctl command

EPSS

Процентиль: 22%

0.0007

Низкий

6.6 Medium

CVSS2

Связанные уязвимости

CVE-2014-1737

ubuntu

больше 11 лет назад

The raw_cmd_copyin function in drivers/block/floppy.c in the Linux kernel through 3.14.3 does not properly handle error conditions during processing of an FDRAWCMD ioctl call, which allows local users to trigger kfree operations and gain privileges by leveraging write access to a /dev/fd device. First, raw_cmd_ioctl calls raw_cmd_copyin. This function kmallocs space for a floppy_raw_cmd structure and stores the resulting allocation in the "rcmd" pointer argument. It then attempts to copy_from_user the structure from userspace. If this fails, an early EFAULT return is taken. The problem is that even if the early return is taken, the pointer to the non-/partially-initialized floppy_raw_cmd structure has already been returned via the "rcmd" pointer. Back out in raw_cmd_ioctl, it attempts to raw_cmd_free this pointer. raw_cmd_free attempts to free any DMA pages allocated for the raw command, kfrees the raw command structure itself, and follows the linked list, if any, of further raw com...