报告编号：B6-2020-092301

报告来源：360CERT

报告作者：360CERT

更新日期：2020-09-23

0x01 漏洞简述

2020年09月23日，360CERT监测发现 openwall邮件组 发布了 linux-kernel 权限提升漏洞 的风险通告，该漏洞编号为 CVE-2020-14386 ，漏洞等级：高危，漏洞评分：7.8。

本地攻击者通过向受影响的主机发送特制的请求内容，可以造成权限提升影响。

因为漏洞存在内核中，若成功利用该漏洞将直接获得系统最高权限。

目前使用内核进行虚拟化的产品如 openshift/docker/kubernetes 在错误的配置策略下，同样受到该漏洞影响，并可能造成虚拟环境逃逸

对此，360CERT建议广大用户及时将 linux-kernel 升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

0x03 漏洞详情

CVE-2020-14386: 权限提升漏洞

Linux发行版高于4.6的内核版本的源码net/packet/af_packet.c在处理AF_PACKET时存在一处整数溢出漏洞。

该漏洞的触发需要 本地低权限用户/可执行文件 启用 CAP_NET_RAW 功能

0x04 影响版本

- centos:centos: 8 

- debain:debain_linux: 9/10 

- ubuntu:ubuntu_linux: >18.04

0x05 修复建议

通用修补建议

1.可以应用如下 commit 的内核补丁 acf69c946233259ab4d64f8869d4037a198c7f06

CVE-2020-14386 linux-kernel-git-patch

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=acf69c946233259ab4d64f8869d4037a198c7f06

2. 根据 RedHat 的建议关闭 CAP_NET_RAW 功能

对于单个可执行程序

同时 RedHat 指出在 Red Hat Enterprise Linux 8上，还可以通过利用非特权用户名称空间来获得CAP_NET_RAW功能。

可以通过如下措施缓解

0x06 产品侧解决方案

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

0x07 时间线

2020-09-03 openwall邮件组披露该漏洞

2020-09-23 360CERT发布通告

0x08 参考链接

1、 CVE-2020-14386: Linux kernel: af_packet.c vulnerability

https://www.openwall.com/lists/oss-security/2020/09/03/3

2、 red-hat CVE-2020-14386

https://access.redhat.com/security/cve/cve-2020-14386

3、 cgwalters / cve-2020-14386

https://github.com/cgwalters/cve-2020-14386

4、 Linux Capabilities 简介

https://www.cnblogs.com/sparkdev/p/11417781.html

5、 google kubernetes-engine security-bulletins

https://cloud.google.com/kubernetes-engine/docs/security-bulletins#gcp-2020-012

推荐阅读：

1、CVE-2020-13933: Apache Shiro 权限绕过漏洞分析

2、安全事件周报 (09.14-09.20)

3、安全运营周刊第九期

长按下方二维码关注360CERT！谢谢你的关注！

注：360CERT官方网站提供 《CVE-2020-14386: Linux内核权限提升漏洞通告》 完整详情，点击阅读原文