[devel] suid binaries and ELF Auxiliary Vectors

[devel] suid binaries and ELF Auxiliary Vectors

[Kirill A. Shutemov]

Может кто-нибудь подскажет, почему suid'ый бинарник получает пустой
auxv?

Маленький testcase:

#include <elf.h>
#include <stdio.h>
#include <unistd.h>

int main(int argc, char **argv, char **envp)
{
        Elf32_auxv_t *auxv;
        while(*envp++ != NULL);

        for (auxv = (Elf32_auxv_t *)envp; auxv->a_type != AT_NULL; auxv++)
                printf("%d: 0x%08x\n", auxv->a_type, auxv->a_un.a_val);

        printf("uid: %d\n", geteuid());

        return 0;
}

Для x86_64, его нужно немного поправить.

Если у исполняемого файла нет suid-бита(или owner == uid), то auxv
печатается нормально иначе получаем только uid. Есть идеи почему?
И где код кторый это делает?

Немного о себе:
$ uname -r
2.6.30-lks-wks-alt1
$ rpm -q glibc-core
glibc-core-2.10.1-alt6

Re: [devel] suid binaries and ELF Auxiliary Vectors

[Kirill A. Shutemov]

2009/9/25 Konstantin A. Lepikhov <lakostis@unsafe.ru>:
> http://people.redhat.com/drepper/elftut1.ps -

Thanks for link.

> "The function create_elf_tables is responsible for
> creating the user stack which includes creating the auxiliary vector."

Yep, I see. It really creates auxv on suid binaries. At least it reaches
copy_to_user(sp, elf_info, ei_index * sizeof(elf_addr_t))
But still there is no auxv in userspace. :(

Re: [devel] suid binaries and ELF Auxiliary Vectors

[Kirill A. Shutemov]

On Fri, Sep 25, 2009 at 11:15 AM, Kirill A. Shutemov
<kirill@shutemov.name> wrote:
> 2009/9/25 Konstantin A. Lepikhov <lakostis@unsafe.ru>:
>> http://people.redhat.com/drepper/elftut1.ps -
>
> Thanks for link.
>
>> "The function create_elf_tables is responsible for
>> creating the user stack which includes creating the auxiliary vector."
>
> Yep, I see. It really creates auxv on suid binaries. At least it reaches
> copy_to_user(sp, elf_info, ei_index * sizeof(elf_addr_t))
> But still there is no auxv in userspace. :(
>

It seems problem is in glibc. When I compiled similar code with
klibc, it works fine.

Dmitry, could you comment it? Probably, it's security-related
thing. What's the point?

Re: [devel] suid binaries and ELF Auxiliary Vectors

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1032 bytes --]

On Fri, Sep 25, 2009 at 11:23:47AM +0300, Kirill A. Shutemov wrote:
> On Fri, Sep 25, 2009 at 11:15 AM, Kirill A. Shutemov
> <kirill@shutemov.name> wrote:
> > 2009/9/25 Konstantin A. Lepikhov <lakostis@unsafe.ru>:
> >> http://people.redhat.com/drepper/elftut1.ps -
> >
> > Thanks for link.
> >
> >> "The function create_elf_tables is responsible for
> >> creating the user stack which includes creating the auxiliary vector."
> >
> > Yep, I see. It really creates auxv on suid binaries. At least it reaches
> > copy_to_user(sp, elf_info, ei_index * sizeof(elf_addr_t))
> > But still there is no auxv in userspace. :(
> >
> 
> It seems problem is in glibc. When I compiled similar code with
> klibc, it works fine.
> 
> Dmitry, could you comment it? Probably, it's security-related
> thing. What's the point?

Every ELF executable gets an auxv, but when glibc detects that the running
process is privileged, it mangles its environment and, besides all, sets
__libc_enable_secure variable to 1.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] suid binaries and ELF Auxiliary Vectors

[Sergey Vlasov]

[-- Attachment #1: Type: text/plain, Size: 1842 bytes --]

On Fri, Sep 25, 2009 at 10:38:50AM +0300, Kirill A. Shutemov wrote:
> Может кто-нибудь подскажет, почему suid'ый бинарник получает пустой
> auxv?

На самом деле он получает непустой auxv, однако используемый для поиска
auxv код в этих условиях не работает.

> Маленький testcase:
> 
> #include <elf.h>
> #include <stdio.h>
> #include <unistd.h>
> 
> int main(int argc, char **argv, char **envp)
> {
>         Elf32_auxv_t *auxv;
>         while(*envp++ != NULL);
> 
>         for (auxv = (Elf32_auxv_t *)envp; auxv->a_type != AT_NULL; auxv++)
>                 printf("%d: 0x%08x\n", auxv->a_type, auxv->a_un.a_val);
> 
>         printf("uid: %d\n", geteuid());
> 
>         return 0;
> }
> 
> Для x86_64, его нужно немного поправить.
> 
> Если у исполняемого файла нет suid-бита(или owner == uid), то auxv
> печатается нормально иначе получаем только uid. Есть идеи почему?
> И где код кторый это делает?

glibc/elf/rtld.c:process_envvars() при запуске программы с повышенными
привилегиями (с установленным флагом __libc_enable_secure) удаляет
некоторые переменные окружения вызовом unsetenv(), в результате чего
простым поиском NULL в envp не удаётся найти начало auxv.  Можно
попробовать запустить SUID-программу с очищенным окружением (через
"env -", или явно убрав только мешающие переменные) - в этом случае
поиск auxv проходит даже при наличии SUID.  Обычно мешают как минимум
переменные PWD и TMPDIR.

Если предположить, что auxv не может быть пустым, и используется
текущая реализация unsetenv() из glibc/elf/dl-environ.c (где хвост
envp гарантированно заполняется NULL даже в случае, когда одновременно
удаляется несколько переменных с одинаковым именем), работает
следующий hackaround:

	while(*envp++ != NULL);
+	while (*envp == NULL) ++envp;

(добавляется пропуск лишних NULL).

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] suid binaries and ELF Auxiliary Vectors

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 489 bytes --]

On Fri, Sep 25, 2009 at 10:38:50AM +0300, Kirill A. Shutemov wrote:
> $ uname -r
> 2.6.30-lks-wks-alt1
> $ rpm -q glibc-core
> glibc-core-2.10.1-alt6

2.6.30.5-linode20; libc6-2.9-25
2.6.18-128.2.1.el5.028stab064.7; glibc-2.5-34.el5_3.1
В обоих случаях всё работает, вроде как.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

>Вы когда-нибудь видели код apt'a изнутри? На досуге рекомендую :)
На ночь, что бы кошмары снились ;-)
		-- rider in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]

Re: [devel] suid binaries and ELF Auxiliary Vectors

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 585 bytes --]

On Fri, Sep 25, 2009 at 03:29:13PM +0600, Andrey Rahmatullin wrote:
> On Fri, Sep 25, 2009 at 10:38:50AM +0300, Kirill A. Shutemov wrote:
> > $ uname -r
> > 2.6.30-lks-wks-alt1
> > $ rpm -q glibc-core
> > glibc-core-2.10.1-alt6
> 
> 2.6.30.5-linode20; libc6-2.9-25
> 2.6.18-128.2.1.el5.028stab064.7; glibc-2.5-34.el5_3.1
> В обоих случаях всё работает, вроде как.

Работоспособность примера зависит от того, какие переменные среды есть у
процесса при запуске, и насколько тщательно ваша версия glibc их чистит
в случае, если этот процесс привилегированный.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] suid binaries and ELF Auxiliary Vectors

[Kirill A. Shutemov]

2009/9/25 Sergey Vlasov <vsu@altlinux.ru>:
> On Fri, Sep 25, 2009 at 10:38:50AM +0300, Kirill A. Shutemov wrote:
>> Может кто-нибудь подскажет, почему suid'ый бинарник получает пустой
>> auxv?
>
> На самом деле он получает непустой auxv, однако используемый для поиска
> auxv код в этих условиях не работает.
>
>> Маленький testcase:
>>
>> #include <elf.h>
>> #include <stdio.h>
>> #include <unistd.h>
>>
>> int main(int argc, char **argv, char **envp)
>> {
>>         Elf32_auxv_t *auxv;
>>         while(*envp++ != NULL);
>>
>>         for (auxv = (Elf32_auxv_t *)envp; auxv->a_type != AT_NULL; auxv++)
>>                 printf("%d: 0x%08x\n", auxv->a_type, auxv->a_un.a_val);
>>
>>         printf("uid: %d\n", geteuid());
>>
>>         return 0;
>> }
>>
>> Для x86_64, его нужно немного поправить.
>>
>> Если у исполняемого файла нет suid-бита(или owner == uid), то auxv
>> печатается нормально иначе получаем только uid. Есть идеи почему?
>> И где код кторый это делает?
>
> glibc/elf/rtld.c:process_envvars() при запуске программы с повышенными
> привилегиями (с установленным флагом __libc_enable_secure) удаляет
> некоторые переменные окружения вызовом unsetenv(), в результате чего
> простым поиском NULL в envp не удаётся найти начало auxv.  Можно
> попробовать запустить SUID-программу с очищенным окружением (через
> "env -", или явно убрав только мешающие переменные) - в этом случае
> поиск auxv проходит даже при наличии SUID.  Обычно мешают как минимум
> переменные PWD и TMPDIR.
>
> Если предположить, что auxv не может быть пустым, и используется
> текущая реализация unsetenv() из glibc/elf/dl-environ.c (где хвост
> envp гарантированно заполняется NULL даже в случае, когда одновременно
> удаляется несколько переменных с одинаковым именем), работает
> следующий hackaround:
>
>        while(*envp++ != NULL);
> +       while (*envp == NULL) ++envp;
>
> (добавляется пропуск лишних NULL).

Спасибо!

Re: [devel] suid binaries and ELF Auxiliary Vectors

[Kirill A. Shutemov]

2009/9/25 Sergey Vlasov <vsu@altlinux.ru>:
> glibc/elf/rtld.c:process_envvars() при запуске программы с повышенными
> привилегиями (с установленным флагом __libc_enable_secure) удаляет
> некоторые переменные окружения вызовом unsetenv(), в результате чего
> простым поиском NULL в envp не удаётся найти начало auxv.

Мне кажется, тут ошибка в glibc. Если glibc очищает переменные окружения,
то логично было бы подвинуть и auxv. Так бы не нарушался контракт с
userspace.

Я ещё что-то упускаю из виду?