安全狗漏洞预警： Linux内核通杀提权漏洞

一、 漏洞描述

　　CVE-ID CVE-2016-5195

　　漏洞名称 Linux写拷贝污染(也叫脏牛(Dirty COW))

　　漏洞危害低权限用户可利用该漏洞在linux系统上实现本地提权

　　影响范围Linux内核>=2.6.22(包括Pc与Android)

二、 漏洞原理

　　Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞，导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其它只读内存映射的写权限，有可能进一步导致提权漏洞。

三、 漏洞细节

　　到目前为止，该漏洞的利用程序尚未公布。该漏洞由于get_user_pages()的条件竞争漏洞导致。没有什么办法能够保证handle_mm_fault()一定能够触发COW条件-如果另一个线程结束并以某种方式修改了页表，handle_mm_fault()将会终止，我们需要重试这个操作。这还算好的，get_user_pages()是尝试读取操作，理论上写访问结束时会丢失已经污染的位或者一个内存页上没有适合COW的地方。这让get_user_pages()总是尝试写访问由于"follow_page()"产生的写访问需要一个可写的污染位集合。这简化了解决竞争的代码如果COW由于某些原因执行失败了，我们只需要不断重复执行。

　　提交者在11年前就尝试修复这个古老的漏洞，提交编号4ceb5db9757a("修复 get_user_pages() 的写访问竞争")，后来由于s390问题又回滚了，提交编号 f33ea7f404e5("修复 get_user_pages漏洞")。

　　，s390已经修复很久了，现在我们能够通过适当的校验pte_dirty()位来修复。s390 污染位已经在abf09bed3e 中实现了(("s390/mm:实现软件污染位")。更好的内核需要自行查看内存页。

　　同样，VM的扩展性变得更好，并且使用了一个更好的竞争使得触发更容易。

　　为了修复它，我们引入一个新的内部FOLL_COW标志来标记“yes，我们已经做了一 次写拷贝了”来取代与FOLL_WRITE之间的竞争游戏，然后使用pte污染标记去校验 FOLL_COW标记是否仍然生效。

四、 漏洞验证

　　测试的Poc在https://github./dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c

　　将代码下载到本地后，使用g进行编译。根据源码的注释，可以看出利用poc将foo文件的内容进行篡改。同理只要把/etc/passwd中低权限用户的 uid改成 0 后面这个低权限用户就可以以 root权限登录了。