一、漏洞概述
近日,绿盟科技CERT监测发现网上公开披露了一个Linux OverlayFS权限提升漏洞(CVE-2023-0386)的PoC。由于Linux内核的OverlayFS子系统存在缺陷,攻击者可以利用该漏洞通过将具有特权的可执行文件从“nosuid mount”复制到另一个文件夹,且该文件夹中的挂载启用了uid映射功能。在复制过程中,会发生uid映射错误,攻击者可实现在目标系统上提升至ROOT权限。该漏洞的CVSS评分为7.8,建议受影响的用户尽快采取措施进行防护。
OverlayFS是一种用于Linux内核的文件系统,可以将多个目录树合并到一个单一的虚拟文件系统中。它的作用类似于一种文件叠加技术,能够将不同的文件系统叠加在一起,从而形成一个新的文件系统,其中包含了所有原始文件系统中的文件和目录。
参考链接:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=4f11ada10d0a
二、影响范围
受影响范围
v5.11-rc1 <= Linux Kernel <= v6.2-rc5
不受影响范围
Linux Kernel >= 6.2-rc6
Linux Kernel < v5.11
三、漏洞检测
3.1 版本检测
Linux系统用户可以通过查看版本来判断当前系统是否在受影响范围内,查看操作系统版本信息命令如下:
| cat /proc/version |
四、漏洞防护
4.1 官方升级
1. 目前官方已发布补丁修复此漏洞,建议受影响的用户及时安装防护:
2. 目前主流Linux发行版已发布安全补丁或更新版本修复此漏洞,建议用户尽快安装补丁或参照官方措施进行防护:
| Linux发行版 | 官方通告 |
| Ubuntu | https://ubuntu.com/security/CVE-2023-0386 |
| Debain | https://security-tracker.debian.org/tracker/CVE-2023-0386 |
| Redhat | https://access.redhat.com/security/cve/CVE-2023-0386 |
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。