наскоро споделяме тук в блога новините за интереса, който Microsoft е проявил за подсистемата eGMP, Тъй като е изградил подсистема за Windows, която използва метода за статичен анализ на абстрактна интерпретация, който в сравнение с eBPF контролера за Linux демонстрира по-нисък процент на фалшиви положителни резултати, поддържа цикличен анализ и осигурява добра мащабируемост.
Методът отчита много типични модели на производителност, получени от анализа на съществуващите програми eBPF. Тази подсистема eBPF е включен в ядрото на Linux от версия 3.18 и Позволява ви да обработвате входящи / изходящи мрежови пакети, препращащи пакети, да контролирате честотната лента, да прихващате системни разговори, да контролирате достъпа и да извършвате мониторинг.
И това ли говори за това, наскоро беше разкрито, че идентифицирани са две нови уязвимости в подсистемата eBPF, който ви позволява да стартирате драйвери в ядрото на Linux в специална JIT виртуална машина.
И двете уязвимости предоставят възможност за стартиране на код с права на ядрото, извън изолираната виртуална машина eBPF.
Информация за проблемите е публикуван от екипа на Zero Day Initiative, който провежда състезанието Pwn2Own, по време на което тази година бяха демонстрирани три атаки срещу Ubuntu Linux, при които бяха използвани неизвестни досега уязвимости (ако уязвимостите в eBPF са свързани с тези атаки, не се съобщава).
Установено е, че eBPF ALU32 ограничава проследяването за битови операции (И, ИЛИ и XOR) 32-битовите ограничения не бяха актуализирани.
Манфред Пол (@_manfp) от екипа на RedRocket CTF (@redrocket_ctf) работи с негоИнициативата на Trend Micro Zero Day откри, че тази уязвимост той може да бъде преобразуван в извън граници четене и запис в ядрото. Това е било отчетени като ZDI-CAN-13590 и назначени CVE-2021-3490.
- CVE-2021-3490: Уязвимостта се дължи на липсата на извънгранична проверка за 32-битови стойности при извършване на битови операции И, ИЛИ и XOR операции на eBPF ALU32. Атакуващият може да се възползва от тази грешка, за да чете и записва данни извън границите на разпределения буфер. Проблемът с XOR операциите съществува от ядрото 5.7-rc1 и AND и OR от 5.10-rc1.
- CVE-2021-3489: уязвимостта е причинена от грешка в изпълнението на буфера на пръстена и е свързана с факта, че функцията bpf_ringbuf_reserve не е проверила възможността размерът на разпределената област на паметта да е по-малък от действителния размер на буфера на ringbuf. Проблемът е очевиден от пускането на 5.8-rc1.
Освен това, можем да наблюдаваме и друга уязвимост в ядрото на Linux: CVE-2021-32606, който позволява на локален потребител да повиши своите привилегии до основното ниво. Проблемът се проявява от ядрото на Linux 5.11 и е причинен от състезателно състояние при изпълнението на CAN ISOTP протокола, което прави възможно промяната на параметрите на свързване на сокета поради липсата на конфигурация на правилните ключалки в isotp_setsockopt () когато знамето се обработва CAN_ISOTP_SF_BROADCAST.
Веднъж гнездо, ISOTP продължава да се свързва към сокета на приемника, който може да продължи да използва структурите, свързани със сокета, след като свързаната памет се освободи (използване след освобождаване поради извикване на структурата isotp_sock вече освободен, когато се обадяsotp_rcv(). Чрез манипулиране на данни можете да замените показалеца към функцията sk_error_report () и стартирайте кода си на ниво ядро.
Състоянието на корекциите за уязвимости в дистрибуциите може да се проследи на тези страници: Ubuntu, Debian, RHEL, Fedora, SUSE, Арка).
Поправките са налични и като корекции (CVE-2021-3489 и CVE-2021-3490). Използването на проблема зависи от наличността на повикването към системата eBPF за потребителя. Например в конфигурацията по подразбиране на RHEL, експлоатацията на уязвимостта изисква потребителят да има привилегии CAP_SYS_ADMIN.
Накрая ако искате да научите повече за това, можете да проверите подробностите В следващия линк.