Уязвимость в утилите GNU sort

15.05.2015 09:00

В утилите sort, поставляемой в составе GNU Coreutils c используемым во многих дистрибутивах патчем i18n, выявлена уязвимость, которая может привести к переполнению буфера при обработке входных данных, содержащих UTF8-символы с большими кодами. Наличие проблемы подтверждено в openSUSE, RHEL и Fedora. Для устранения уязвимости подготовлен патч.

Протестировать подверженность дистрибутива проблеме можно при помощи команды:


  printf '%s\\n' a ɑ | MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f

  Error in `sort': free(): invalid next size (fast): 0x0000000000947ff0

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/42235-sort

Ключевые слова: sort, coreutils

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (69)

1.1, Xaionaro (ok), 09:08, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Debian Jessie (без обновления): $ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f ɑ a

2.5, Аноним (-), 09:35, 15/05/2015 [^] [^^] [^^^] [ответить]	+2 +/–
В убунтах 14.10 и 15.04 тоже не работает...

3.23, anonymous (??), 12:55, 15/05/2015 [^] [^^] [^^^] [ответить]	+/–
14.04 тоже не подвержена

4.31, Какаянахренразница (ok), 14:17, 15/05/2015 [^] [^^] [^^^] [ответить]	+1 +/–
12.04 тоже не подвержена

2.41, GotF (ok), 17:34, 15/05/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Там нет этого патча.

2.52, Аноним (-), 20:35, 15/05/2015 [^] [^^] [^^^] [ответить]	+/–
Distributor ID: Debian Description: Debian GNU/Linux 7.8 (wheezy) Release: 7.8 Codename: wheezy Всё пучком. Походу красношляпые проморгали чего то :)

2.67, bircoph (ok), 10:59, 17/05/2015 [^] [^^] [^^^] [ответить]

+1 +/–

В Gentoo ~amd64 и ~x86 тоже:

$ printf '%s\n' a ɑ | MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f
ɑ
a

Похоже, уязвимость только в сильно умных дистрах, лепящих сторонние патчи направо и налево.

1.2, Аноним (-), 09:12, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Debian Wheezy 7.8 backports $ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f ɑ a

1.3, Аноним (3), 09:17, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
$ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f ɑ a $ sort --version sort (GNU coreutils) 8.23 Упакован Gentoo (8.23 (p1.0)) Copyright (C) 2014 Free Software Foundation, Inc. Лицензия GPLv3+: GNU GPL версии 3 или новее <http://gnu.org/licenses/gpl.html> Это свободное ПО: вы можете изменять и распространять его. Нет НИКАКИХ ГАРАНТИЙ до степени, разрешённой законом. Авторы программы -- Mike Haertel и Paul Eggert.

1.4, Аноним (-), 09:29, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+13 +/–
Уязвимость RPM дистрибутивов, можем расходиться...

2.44, Michael Shigorin (ok), 17:41, 15/05/2015 [^] [^^] [^^^] [ответить]	–1 +/–
> Уязвимость RPM дистрибутивов, можем расходиться... Ох уж эти ламеры.[CODE]$ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f ɑ a $ rpm -qf =sort coreutils-8.22-alt1[/CODE]

3.45, курлык (?), 17:57, 15/05/2015 [^] [^^] [^^^] [ответить]	+/–
Михаил, если будет варемя, ответьте п-ста на это https://www.opennet.ru/openforum/vsluhforumID3/102459.html#592

1.6, Шкурка_от_головки (ok), 09:42, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Нужно чтоб все, прочитавшие новость, выложили свои выводы с шелла ~ > printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f ɑ a

1.7, Аноним (-), 09:50, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Gentoo stable, не работает: > printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f > ɑ > a

1.8, Аноним (-), 09:52, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
archlinux: printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f ɑ a

1.9, Аноним (-), 09:58, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Fedora 22: $ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f a ɑ

1.10, Аноним (-), 09:59, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
ХЗ работает или нет... $ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f * glibc detected * sort: free(): invalid pointer: 0x00000000008ee050 *** ɑ a

2.11, Аноним (-), 10:00, 15/05/2015 [^] [^^] [^^^] [ответить]	–1 +/–
CentOS 6.6

2.59, Аноним (-), 16:08, 16/05/2015 [^] [^^] [^^^] [ответить]

+/–

> *** glibc detected *** sort: free(): invalid pointer: 0x00000000008ee050 ***

Поздравляю, Шарик, у тебя - работает. Уязвимость.

1.12, Ананим1 (?), 10:07, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Centos7 printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f * Error in 'sort': free(): invalid pointer: 0x00000000013d7050 * a ɑ

1.13, Zomby (?), 10:14, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Mageia 5 RC: printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f * Error in 'sort': free(): invalid pointer: 0x0000000002332050 * a ɑ

1.14, yet another anonymous (?), 10:36, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Это еще раз демонстрирует проблему современных дистростроителей: вместо того, чтобы связываться с "авторами" при обнаружении проблемы, они таскают не-пойми-какие т.н. "стабильные версии" подпертые со всех сторон костылями.

2.18, Аноним (-), 11:49, 15/05/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Иногда с авторами невозможно связаться, иногда принятие патча в апстрим занимает _годы_.

3.25, yet another anonymous (?), 13:21, 15/05/2015 [^] [^^] [^^^] [ответить]	+/–
По моему опыту, попытка (!) связаться с авторами --- это скорее исключение из общего правила "нахреначить своих костылей в меру своего понимания проблемы и засунуть результат в пакет".

2.42, GotF (ok), 17:36, 15/05/2015 [^] [^^] [^^^] [ответить]	+4 +/–
> Это еще раз демонстрирует проблему современных дистростроителей: вместо того, чтобы связываться > с "авторами" при обнаружении проблемы, они таскают не-пойми-какие т.н. "стабильные версии" > подпертые со всех сторон костылями. Попробуй авторов GNU Coreutils убедить принять патч для полноценной поддержки UTF-8. Пока никому не удавалось.

3.60, Аноним (-), 16:09, 16/05/2015 [^] [^^] [^^^] [ответить]

+/–

> никому не удавалось.

Зато редхату, блин, удалось. Повесить баг отсутствовавший в оригинале.

4.66, GotF (ok), 17:29, 16/05/2015 [^] [^^] [^^^] [ответить]	+/–
>> никому не удавалось. > Зато редхату, блин, удалось. Повесить баг отсутствовавший в оригинале. Баги есть везде. И их патч я хотел бы видеть в Debian, чтобы не приходилось привлекать утилиты из Plan 9 (9base) или Heirloom, когда мне нужна поддержка UTF-8 в tr.

5.69, yet another anonymous (?), 11:21, 18/05/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Тот самый патч, который породил данную новость?

6.70, GotF (ok), 16:37, 18/05/2015 [^] [^^] [^^^] [ответить]	+/–
> Тот самый патч, который породил данную новость? Ну что поделать, баги бывают везде.

1.15, сис.админ_23rus (ok), 10:50, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ну и немного мамонта CentOS release 4.8 (Final) printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f malloc: using debugging hooks ɑ a

1.16, sdfgsdg (?), 10:53, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ждём уязвимостей в /bin/true и /bin/false.

2.19, Аноним (-), 11:50, 15/05/2015 [^] [^^] [^^^] [ответить]	+1 +/–
> Ждём уязвимостей в /bin/true и /bin/false. Они не работают с данными.

2.28, EuPhobos (ok), 13:27, 15/05/2015 [^] [^^] [^^^] [ответить]	+4 +/–
Ага, переполнение в /dev/null

2.39, Случайный гость (?), 16:59, 15/05/2015 [^] [^^] [^^^] [ответить]

–1 +/–

Не сочтите за троллинг, но всё же.

$ strace true
execve("/bin/true", ["true"], [/* 20 vars */]) = 0
brk(0)                                  = 0x93cc000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
mmap2(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb774c000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=93781, ...}) = 0
mmap2(NULL, 93781, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb7735000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/i386-linux-gnu/i686/cmov/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\240o\1\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0755, st_size=1437864, ...}) = 0
mmap2(NULL, 1452408, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb75d2000
mprotect(0xb772e000, 4096, PROT_NONE)   = 0
mmap2(0xb772f000, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x15c) = 0xb772f000
mmap2(0xb7732000, 10616, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xb7732000
close(3)                                = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb75d1000
set_thread_area({entry_number:-1 -> 6, base_addr:0xb75d18d0, limit:1048575, seg_32bit:1, contents:0, read_exec_only:0, limit_in_pages:1, seg_not_present:0, useable:1}) = 0
mprotect(0xb772f000, 8192, PROT_READ)   = 0
mprotect(0x804d000, 4096, PROT_READ)    = 0
mprotect(0xb776b000, 4096, PROT_READ)   = 0
munmap(0xb7735000, 93781)               = 0
exit_group(0)                           = ?

Думаю, тут можно притулить свой LD_PRELOAD

3.61, Аноним (-), 16:11, 16/05/2015 [^] [^^] [^^^] [ответить]	+1 +/–
> Думаю, тут можно притулить свой LD_PRELOAD ...и возвращать вместо TRUE FALSE? С ехидным бухтением про "счастливой отладки, сyки"? :)

1.17, Аноним (-), 11:25, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
/tmp% printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f ɑ a /tmp% uname -a Linux nejdanchik 3.17.7-gentoo #3 SMP Tue Jan 20 10:39:51 MSK 2015 x86_64 Intel(R) Core(TM) i3 CPU M 380 @ 2.53GHz GenuineIntel GNU/Linux С какими use-флагами собирать, чтобы уязвимость заработала?

2.20, PnDx (ok), 12:02, 15/05/2015 [^] [^^] [^^^] [ответить]	+5 +/–
Сказано же: для внедрения уязвимости нужно пропатчить. Шляпа и Сусь - пропатчили.

1.21, Аноним (-), 12:05, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
$ uname -a Linux comp-celeron-cpu-7ce4e6.localdomain 3.14.41-std-def-alt1 #1 SMP Thu May 7 12:49:34 UTC 2015 i686 GNU/Linux [sb@comp-celeron-cpu-7ce4e6 ~]$ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f ɑ a Alt Linux Simply 7.0.5

1.22, Аноним (-), 12:29, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

printf '%s\n' a ɑ | MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f
ɑ
a

P.S. grep NAME /etc/os-release
NAME="Arch Linux"
PRETTY_NAME="Arch Linux"

sort --version
sort (GNU coreutils) 8.23
Copyright (C) 2014 Free Software Foundation, Inc.
Лицензия GPLv3+: GNU GPL версии 3 или новее <http://gnu.org/licenses/gpl.html>
Это свободное ПО: вы можете изменять и распространять его.
Нет НИКАКИХ ГАРАНТИЙ до степени, разрешённой законом.

Авторы программы -- Mike Haertel и Paul Eggert.

1.24, Аноним (-), 13:10, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Linux Mint 17 - не работает.

1.26, Есюки (?), 13:24, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
3.13.0-32-generic Ubuntu x86_64 GNU/Linux printf '%s\n' a \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f a

2.29, Nicknnn (ok), 13:31, 15/05/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Хоспате, даже скопапастить не могут уже!

1.30, Ярослав (??), 13:39, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Интерасно, почему данная проблема классифицирована как уязвимость, а не как ошибка?

2.49, anonymous (??), 18:29, 15/05/2015 [^] [^^] [^^^] [ответить]	+/–
1. Переполнение буфера теоретически можно использовать для выполнения кода. 2. Из первого следует что sort file.txt эквивалентно chmod +x ./file.txt ; ./file.txt

1.32, Аноним (-), 15:01, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Для коллекции =) Debian Jessie, amd64 $ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f a ɑ

1.33, Аноним (-), 15:28, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
OpenSUSE 13.2 x64 printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f * Error in 'sort': free(): invalid pointer: 0x0000000001c4b810 * a ɑ

1.34, Аноним (34), 15:54, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
elementary OS freya: printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f ɑ a

2.37, Аноним (-), 16:32, 15/05/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Ещё не все пришли :D

1.36, Аноним (34), 16:28, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Еще не все) Fedora 21: printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f a ɑ

2.40, Аноним (-), 17:31, 15/05/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Fedora 20 x86_64 $ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f * Error in 'sort': free(): invalid pointer: 0x0000000001295050 * a ɑ

1.38, Аноним (-), 16:55, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Сортируй меня, сортируй меня полностью!

2.43, Ананумус (?), 17:36, 15/05/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Почему где-то a ɑ А где-то ɑ a

3.46, Аноним (-), 17:58, 15/05/2015 [^] [^^] [^^^] [ответить]

+/–

По моему здесь не заданы условия.

KEYDEF is F[.C][OPTS][,F[.C][OPTS]] for start and stop position, where F is a field number and C a character position in the field; both are origin 1, and the stop
position defaults to the line's end.

Поэтому сортировки здесь никакой нет, просто показана возможность эксплуатировать уязвимость.

2.62, Аноним (-), 16:12, 16/05/2015 [^] [^^] [^^^] [ответить]	+/–
> Сортируй меня, сортируй меня полностью! Нифига себе сортир...

1.47, Аноним (-), 18:20, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Windows NT 10.0.10074 MSYS2 $ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f a ɑ

2.51, Аноним (-), 19:48, 15/05/2015 [^] [^^] [^^^] [ответить]	+/–
Во, а кого-то тем временем уже в мозгу уязвимость расплодилась

3.63, Аноним (-), 16:14, 16/05/2015 [^] [^^] [^^^] [ответить]	+/–
> Во, а кого-то тем временем уже в мозгу уязвимость расплодилась Его микрософт уже поимел - если это десятка, бета, то она отсылает на сервера микрософта все, вплоть до нажатий клавиш. Ломать такую систему бесполезно - с пола упасть нельзя.

1.48, Аноним (48), 18:21, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
$ uname -a Darwin mars.Dlink 14.3.0 Darwin Kernel Version 14.3.0: Mon Mar 23 11:59:05 PDT 2015; root:xnu-2782.20.48~5/RELEASE_X86_64 x86_64 $ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f a ɑ

1.50, Аноним (-), 18:39, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Нужна фряха и соляра ещё :D

2.53, Аноним (-), 20:49, 15/05/2015 [^] [^^] [^^^] [ответить]	+/–
Зачем? Там sort не гнутый ....

3.57, Аноним (-), 06:26, 16/05/2015 [^] [^^] [^^^] [ответить]	+/–
Кто мешает поставить?

2.54, Аноним (-), 22:46, 15/05/2015 [^] [^^] [^^^] [ответить]

–1 +/–

> Нужна фряха и соляра ещё :D

Не в FreeBSD ни в Solaris GNU утилит уже давно нет, хотя я сомневаюсь что в Solaris они вообще были.

3.56, anonymouse (?), 01:17, 16/05/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Откуда дровишки что в Solaris нет GNU утилит? http://pkg.oracle.com/solaris/release/en/search.shtml?token=sort&action=Searc

1.55, Аноним (-), 23:12, 15/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Страшно жить, почему в калькуляторе винды не находят уязвимостей?

2.58, Аноним (-), 06:29, 16/05/2015 [^] [^^] [^^^] [ответить]	+/–
Я почти уверен, что они там есть ;) Просто M$ за это мзду получает.

2.65, Аноним (-), 16:15, 16/05/2015 [^] [^^] [^^^] [ответить]	+/–
> Страшно жить, почему в калькуляторе винды не находят уязвимостей? Так микрософт в бетаверсии десятки просто отсылает себе все нажатия клавиш. Зачем им при этом уязвимости? Они и так при таком раскладе узнают что ты в калькуляторе считал, если им это станет интересно.

2.72, aag (?), 08:47, 20/05/2015 [^] [^^] [^^^] [ответить]

+/–

I will never go out of business in this country. thanks to Microsoft. who would have thought that wincalcis vulnerable? I have not checked all systems yet, so this is my configuration: Windows 7 Ultimate SP1 x86-64, English.

1) run calc.exe;
2) press “Alt-2″ to go to “Scientistic” mode (“Programmer” mode works too);
3) type “1/255″ and press [ENTER] or [=]
4) press the button [F-E];

http://nezumi-lab.org/blog/?p=239

1.68, Жырная Жопа (?), 14:11, 17/05/2015 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
В Мак0Си всё раб0тает: MacBook-1:~ a1$ printf '%s\n' a ɑ \| MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f a ɑ MacBook-1:~ a1$

2.71, Led (ok), 21:30, 19/05/2015 [^] [^^] [^^^] [ответить]	+/–
> В Мак0Си > Жырная Жопа Ты сюда себя порекламировать пришёл, затейник?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: