Podatność use-after-free w podsystemie UMTX jądra FreeBSD pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu lub ucieczkę z sandboxa Capsicum. Otrzymała maksymalną ocenę CVSS 10.0, co czyni ją podatnością krytyczną wymagającą natychmiastowej reakcji.
▸ Pokaż oryginał (EN)
Concurrent removals of certain anonymous shared memory mappings by using the UMTX_SHM_DESTROY sub-request of UMTX_OP_SHM can lead to decreasing the reference count of the object representing the mapping too many times, causing it to be freed too early. A malicious code exercizing the UMTX_SHM_DESTROY sub-request in parallel can panic the kernel or enable further Use-After-Free attacks, potentially including code execution or Capsicum sandbox escape.
Podatność wynika z błędu w obsłudze współbieżnych żądań usunięcia anonimowych współdzielonych odwzorowań pamięci (anonymous shared memory mappings) przy użyciu sub-żądania UMTX_SHM_DESTROY operacji UMTX_OP_SHM. Równoczesne wywołania tego sub-żądania przez wiele wątków powodują zbyt wielokrotne dekrementowanie licznika referencji obiektu reprezentującego dane odwzorowanie. W konsekwencji obiekt zostaje zwolniony przedwcześnie, tworząc klasyczny scenariusz use-after-free. Złośliwy kod wykonujący UMTX_SHM_DESTROY równolegle może doprowadzić do paniki jądra lub umożliwić dalsze ataki wykorzystujące zwolnioną pamięć.
Atakujący może wywołać panikę jądra (denial of service), uzyskać możliwość wykonania arbitralnego kodu (RCE) w kontekście jądra lub dokonać ucieczki z sandboxa Capsicum, przejmując kontrolę nad systemem.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — patrz advisory FreeBSD-SA-24:14.umtx opublikowane pod adresem https://security.freebsd.org/advisories/FreeBSD-SA-24:14.umtx.asc
FreeBSD — wersje wskazane w referencjach producenta (advisory FreeBSD-SA-24:14.umtx)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HFreebsd
OSFreebsd13.313.414.014.113.0 – 13.3 (bez)
Powiązane podatności
RCE w implementacji NFS w OpenBSD i FreeBSD — zdalne wykonanie kodu
FreeBSD: przepełnienie bufora w obsłudze beacon 802.11s prowadzące do RCE
In versions of FreeBSD 12.4-RELEASE prior to 12.4-RELEASE-p7 and FreeBSD 13.2-RELEASE prior to 13.2-RELEASE-p5...
pam_krb5 authenticates a user by essentially running kinit with the password, getting a ticket-granting ticket...
In FreeBSD 12.2-STABLE before r368250, 11.4-STABLE before r368253, 12.2-RELEASE before p1, 12.1-RELEASE before...