linux操作系統(tǒng)漏洞
與Windows相比,Linux被認(rèn)為具有更好的安全性和其他擴展性能。這些特性使得Linux在操作系統(tǒng)領(lǐng)域異軍突起,得到越來越多的重視。隨著Linux應(yīng)用量的增加,其安全性也逐漸受到了公眾甚或黑客的關(guān)注。那么,Linux是否真的如其支持廠商們所宣稱的那樣安全呢?下面大家與學(xué)習(xí)啦小編一起來學(xué)習(xí)一下吧。
linux操作系統(tǒng)漏洞
NTP安全漏洞
在linux系統(tǒng)中NTP是用來使計算機時間同步化的一種協(xié)議,它可以使計算機對其服務(wù)器或時鐘源了,但有網(wǎng)友發(fā)現(xiàn)ntp存在安全問題。
CVE-2013-5211最早公布是2014年1月10日,由于NTP本身不會驗證發(fā)送者的源ip地址。這就類似于DNS解析器使用的DRDoS(分布式反射型拒絕服務(wù)攻擊)。攻擊者HACK發(fā)送了一個偽造報文發(fā)送給NTP服務(wù)器Server A,將數(shù)據(jù)包中的源ip地址改成了受害者Client A的ip地址。NTP服務(wù)器Server A會響應(yīng)這個請求,相對于初始請求,響應(yīng)包發(fā)送的字節(jié)數(shù)是一個被放大的量,導(dǎo)致受害者Client A被dos攻擊。最高的兩個消息類型:REQ_MON_GETLIST 和REQ_MON_GETLIST_1,通過高達3660和5500的一個因素分別放大原始請求。
【解決方案】:
放大反射dos攻擊由CVE-2013-5211所致。且這漏洞是與molist功能有關(guān)。Ntpd4.2.7p26之前的版本都會去響應(yīng)NTP中的mode7“monlist”請求。ntpd-4.2.7p26版本后,“monlist”特性已經(jīng)被禁止,取而代之的是“mrulist”特性,使用mode6控制報文,并且實現(xiàn)了握手過程來阻止對第三方主機的放大攻擊。
操作步驟:
echo "disable monitor" >> /etc/ntp.conf
重啟ntp服務(wù)
驗證:
運行 # ntpdc
ntpdc> monlist
***Server reports data not found
ntpdc>
此時monlist已經(jīng)被禁止了,也不會影響其時間同步 。或者在配置文件中增加以下兩行并重啟ntp服務(wù):
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
Linux操作系統(tǒng)內(nèi)核漏洞問題
權(quán)限提升類漏洞
一般來說,利用系統(tǒng)上一些程序的邏輯缺陷或緩沖區(qū)溢出的手段,攻擊者很容易在本地獲得Linux服務(wù)器上管理員權(quán)限r(nóng)oot;在一些遠程的情況下,攻擊者會利用一些以root身份執(zhí)行的有缺陷的系統(tǒng)守護進程來取得root權(quán)限,或利用有缺陷的服務(wù)進程漏洞來取得普通用戶權(quán)限用以遠程登錄服務(wù)器。目前很多Linux服務(wù)器都用關(guān)閉各種不需要的服務(wù)和進程的方式來提升自身的安全性,但是只要這個服務(wù)器上運行著某些服務(wù),攻擊者就可以找到權(quán)限提升的途徑。下面是一個比較新的導(dǎo)致權(quán)限提升的漏洞。
do_brk()邊界檢查不充分漏洞在2003年9月份被Linux內(nèi)核開發(fā)人員發(fā)現(xiàn),并在9月底發(fā)布的Linux kernel 2.6.0-test6中對其進行了修補。但是Linux內(nèi)核開發(fā)人員并沒有意識到此漏洞的威脅,所以沒有做任何通報,一些安全專家與黑客卻看到了此漏洞蘊涵的巨大威力。在2003年11月黑客利用rsync中一個未公開的堆溢出與此漏洞配合,成功地攻擊了多臺Debian與Gentoo Linux的服務(wù)器。
下面讓我們簡單描述一下該漏洞。該漏洞被發(fā)現(xiàn)于brk系統(tǒng)調(diào)用中。brk系統(tǒng)調(diào)用可以對用戶進程的堆的大小進行操作,使堆擴展或者縮小。而brk內(nèi)部就是直接使用do_brk()函數(shù)來做具體的操作, do_brk()函數(shù)在調(diào)整進程堆的大小時既沒有對參數(shù)len進行任何檢查(不檢查大小也不檢查正負(fù)),也沒有對addr+len是否超過TASK_SIZE做檢查。這樣我們就可以向它提交任意大小的參數(shù)len,使用戶進程的大小任意改變以至可以超過TASK_SIZE的限制,使系統(tǒng)認(rèn)為內(nèi)核范圍的內(nèi)存空間也是可以被用戶訪問的,這樣的話普通用戶就可以訪問到內(nèi)核的內(nèi)存區(qū)域。通過一定的操作,攻擊者就可以獲得管理員權(quán)限。這個漏洞極其危險,利用這個漏洞可以使攻擊者直接對內(nèi)核區(qū)域操作,可以繞過很多Linux系統(tǒng)下的安全保護模塊。
此漏洞的發(fā)現(xiàn)提出了一種新的漏洞概念,即通過擴展用戶的內(nèi)存空間到系統(tǒng)內(nèi)核的內(nèi)存空間來提升權(quán)限。當(dāng)發(fā)現(xiàn)這種漏洞時,通過研究我們就認(rèn)為內(nèi)核中一定還會存在類似的漏洞,果然幾個月后黑客們又在Linux內(nèi)核中發(fā)現(xiàn)與brk相似的漏洞。通過這次成功的預(yù)測,更證實了對這種新型的概念型漏洞進行研究很有助于安全人員在系統(tǒng)中發(fā)現(xiàn)新的漏洞。
拒絕服務(wù)類漏洞
拒絕服務(wù)攻擊是目前比較流行的攻擊方式,它并不取得服務(wù)器權(quán)限,而是使服務(wù)器崩潰或失去響應(yīng)。對Linux的拒絕服務(wù)大多數(shù)都無須登錄即可對系統(tǒng)發(fā)起拒絕服務(wù)攻擊,使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力,這種方式屬于利用系統(tǒng)本身漏洞或其守護進程缺陷及不正確設(shè)置進行攻擊。
另外一種情況,攻擊者登錄到Linux系統(tǒng)后,利用這類漏洞,也可以使系統(tǒng)本身或應(yīng)用程序崩潰。這種漏洞主要由程序?qū)σ馔馇闆r的處理失誤引起,如寫臨時文件之前不檢查文件是否存在,盲目跟隨鏈接等。
下面,我們簡單描述一下Linux在處理intel IA386 CPU中的寄存器時發(fā)生錯誤而產(chǎn)生的拒絕服務(wù)漏洞。該漏洞是因為IA386多媒體指令使用的寄存器MXCSR的特性導(dǎo)致的。由于IA386 CPU規(guī)定MXCSR寄存器的高16位不能有任何位被置位,否則CPU就會報錯導(dǎo)致系統(tǒng)崩潰。為了保證系統(tǒng)正常運轉(zhuǎn),在linux系統(tǒng)中有一段代碼專門對MXCSR的這個特性作處理,而這一段代碼在特定的情況下會出現(xiàn)錯誤,導(dǎo)致MXCSR中的高16位沒有被清零,使系統(tǒng)崩潰。如果攻擊者制造了這種“極限”的內(nèi)存情況就會對系統(tǒng)產(chǎn)生DoS效果。
攻擊者通過調(diào)用get_fpxregs函數(shù)可以讀取多媒體寄存器至用戶空間,這樣用戶就可以取得MXCSR寄存器的值。調(diào)用set_fpxregs函數(shù)可以使用用戶空間提供的數(shù)據(jù)對MXCSR寄存器進行賦值。通過對MXCSR的高16位進行清0,就保證了IA386 CPU的這個特性。如果產(chǎn)生一種極限效果使程序跳過這一行,使MXCSR寄存器的高16位沒有被清0,一旦MXCSR寄存器的高16位有任何位被置位,系統(tǒng)就會立即崩潰!
因為利用這個漏洞攻擊者還需要登錄到系統(tǒng),這個漏洞也不能使攻擊者提升權(quán)限,只能達到DoS的效果,所以這個漏洞的危害還是比較小的。但是分析這個漏洞就沒有意義了嗎?其實由分析這個漏洞可以看出:Linux內(nèi)核開發(fā)成員對這種內(nèi)存拷貝時出現(xiàn)錯誤的情況沒有進行考慮,以至造成了這個漏洞,分析了解了這個漏洞后,在漏洞挖掘方面也出現(xiàn)了一種新的類型,使我們在以后的開發(fā)中可以盡量避免這種情況。
接下來讓我們看一種Linux內(nèi)核算法上出現(xiàn)的漏洞。先來簡單介紹一下這個漏洞,當(dāng)Linux系統(tǒng)接收到攻擊者經(jīng)過特殊構(gòu)造的包后,會引起hash表產(chǎn)生沖突導(dǎo)致服務(wù)器資源被耗盡。這里所說的hash沖突就是指:許多數(shù)值經(jīng)過某種hash算法運算以后得出的值相同,并且這些值都被儲存在同一個hash槽內(nèi),這就使hash表變成了一個單向鏈表。而對此hash表的插入操作會從原來的復(fù)雜度O(n)變?yōu)镺(n*n)。這樣就會導(dǎo)致系統(tǒng)消耗巨大的cpu資源,從而產(chǎn)生了DoS攻擊效果。我們先看一下在linux中使用的hash算法,這個算法用在對Linux route catch的索引與分片重組的操作中。在今年五月Rice University計算機科學(xué)系的Scott A. Crosby與Dan S. Wallach提出了一種新的低帶寬的DoS攻擊方法,即針對應(yīng)用程序所使用的hash算法的脆弱性進行攻擊。這種方法提出:如果應(yīng)用程序使用的hash算法存在弱點,也就是說hash算法不能有效地把數(shù)據(jù)進行散列,攻擊者就可以通過構(gòu)造特殊的值使hash算法產(chǎn)生沖突引起DoS攻擊。
202
203 static __inline__ unsigned rt_hash_code(u32 daddr, u32 saddr, u8 tos)
204 {
205 unsigned hash = ((daddr & 0xF0F0F0F0) >> 4) │
206 ((daddr & 0x0F0F0F0F) << 4);
207 hash ^= saddr ^ tos;
208 hash ^= (hash >> 16);
209 return (hash ^ (hash >> 8)) & rt_hash_mask;
210 }
以上的代碼就是Linux對ip包進行路由或者重組時使用的算法。此算法由于過于簡單而不能把route緩存進行有效的散列,從而產(chǎn)生了DoS漏洞。下面我們來分析一下此函數(shù)。
203行為此函數(shù)的函數(shù)名與入口參數(shù),u32 daddr為32位的目的地址,而u32 saddr為32位的原地址,tos為協(xié)議。
205行-206行是把目標(biāo)地址前后字節(jié)進行轉(zhuǎn)換。
207行把原地址與tos進行異或后再與hash異或然后再賦值給hash。
208行把hash的值向右偏移16位然后與hash異或再賦值給hash。
209行是此函數(shù)返回hash與它本身向右偏移8位的值異或,然后再跟rt_hash_mask進行與操作的值。
這種攻擊是一種較為少見的拒絕服務(wù)方式,因為它利用了系統(tǒng)本身的算法中的漏洞。該漏洞也代表了一種新的漏洞發(fā)掘的方向,就是針對應(yīng)用軟件或者系統(tǒng)使用的hash算法進行漏洞挖掘。因此,這種針對hash表攻擊的方法對不僅對Linux,而且會對很多應(yīng)用軟件產(chǎn)生影響,比如說Perl5在這個perl的版本中使用的hash算法就容易使攻擊者利用精心篩選的數(shù)據(jù),使用perl5進行編程的應(yīng)用程序使用的hash表產(chǎn)生hash沖突,包括一些代理服務(wù)器軟件,甚至一些IDS軟件,防火墻等,因使用的是Linux內(nèi)核都會被此種攻擊影響。
Linux內(nèi)核中的整數(shù)溢出漏洞
Linux Kernel 2.4 NFSv3 XDR處理器例程遠程拒絕服務(wù)漏洞在2003年7月29日公布,影響Linux Kernel 2.4.21以下的所有Linux內(nèi)核版本。
該漏洞存在于XDR處理器例程中,相關(guān)內(nèi)核源代碼文件為nfs3xdr.c. 此漏洞是由于一個整形漏洞引起的(正數(shù)/負(fù)數(shù)不匹配)。攻擊者可以構(gòu)造一個特殊的XDR頭(通過設(shè)置變量int size為負(fù)數(shù))發(fā)送給Linux系統(tǒng)即可觸發(fā)此漏洞。當(dāng)Linux系統(tǒng)的NFSv3 XDR處理程序收到這個被特殊構(gòu)造的包時,程序中的檢測語句會錯誤地判斷包的大小,從而在內(nèi)核中拷貝巨大的內(nèi)存,導(dǎo)致內(nèi)核數(shù)據(jù)被破壞,致使Linux系統(tǒng)崩潰。
漏洞代碼:
static inline u32 *
decode_fh(u32 *p, struct svc_fh *fhp)
{
int size;
fh_init(fhp, NFS3_FHSIZE);
size = ntohl(*p++);
if (size > NFS3_FHSIZE)
return NULL;
memcpy(&fhp->fh_handle.fh_base, p, size); fhp->fh_handle.fh_size = size;
return p + XDR_QUADLEN(size);
}
因為此內(nèi)存拷貝時在內(nèi)核內(nèi)存區(qū)域中進行,會破壞內(nèi)核中的數(shù)據(jù)導(dǎo)致內(nèi)核崩潰,所以此漏洞并沒有證實可以用來遠程獲取權(quán)限,而且利用此漏洞時攻擊者必須可以mount此系統(tǒng)上的目錄,更為利用此漏洞增加了困難。
我們的目的在于通過這個漏洞的特點來尋找此種類型的漏洞并更好地修補它。大家可以看到,該漏洞是一個非常典型的整數(shù)溢出漏洞,如果在內(nèi)核中存在這樣的漏洞是非常危險的。所以Linux的內(nèi)核開發(fā)人員對Linux內(nèi)核中關(guān)于數(shù)據(jù)大小的變量都作了處理(使用了unsigned int),這樣就避免了再次出現(xiàn)這種典型的整數(shù)溢出。通過對這種特別典型的漏洞原理進行分析,開發(fā)人員可以在以后的開發(fā)中避免出現(xiàn)這種漏洞。
IP地址欺騙類漏洞
由于tcp/ip本身的缺陷,導(dǎo)致很多操作系統(tǒng)都存在tcp/ip堆棧漏洞,使攻擊者進行ip地址欺騙非常容易實現(xiàn)。Linux也不例外。雖然IP地址欺騙不會對Linux服務(wù)器本身造成很嚴(yán)重的影響,但是對很多利用Linux為操作系統(tǒng)的防火墻和IDS產(chǎn)品來說,這個漏洞卻是致命的。
IP地址欺騙是很多攻擊的基礎(chǔ),之所以使用這個方法,是因為IP自身的缺點。IP協(xié)議依據(jù)IP頭中的目的地址項來發(fā)送IP數(shù)據(jù)包。如果目的地址是本地網(wǎng)絡(luò)內(nèi)的地址,該IP包就被直接發(fā)送到目的地。如果目的地址不在本地網(wǎng)絡(luò)內(nèi),該IP包就會被發(fā)送到網(wǎng)關(guān),再由網(wǎng)關(guān)決定將其發(fā)送到何處。這是IP路由IP包的方法。IP路由IP包時對IP頭中提供的IP源地址不做任何檢查,認(rèn)為IP頭中的IP源地址即為發(fā)送該包的機器的IP地址。當(dāng)接收到該包的目的主機要與源主機進行通信時,它以接收到的IP包的IP頭中IP源地址作為其發(fā)送的IP包的目的地址,來與源主機進行數(shù)據(jù)通信。IP的這種數(shù)據(jù)通信方式雖然非常簡單和高效,但它同時也是IP的一個安全隱患,很多網(wǎng)絡(luò)安全事故都是由IP的這個缺點而引發(fā)的。
黑客或入侵者利用偽造的IP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組,喬裝成來自內(nèi)部站的分組過濾器,這種類型的攻擊是非常危險的。關(guān)于涉及到的分組真正是內(nèi)部的,還是外部的分組被包裝得看起來像內(nèi)部分組的種種跡象都已喪失殆盡。只要系統(tǒng)發(fā)現(xiàn)發(fā)送地址在自己的范圍之內(nèi),就把該分組按內(nèi)部通信對待并讓其通過。