Новините разкриха това наскоро идентифицира нова уязвимост (вече изброени под CVE-2021-4204) в подсистемата eBPF (за разнообразие) ...
И това е, че подсистемата eBPF не е престанала да бъде основен проблем за сигурността на ядрото, защото лесно през цялата 2021 г. бяха разкрити две уязвимости на месец и за които говорим за някои от тях тук в блога.
По отношение на детайлите на настоящия проблем се споменава, че откритата уязвимост позволява на драйвер да работи в ядрото на Linux в специална JIT виртуална машина и която от своя страна позволява на непривилегирован локален потребител да ескалира привилегиите и да изпълнява кода си на ниво ядро.
В описанието на проблема те споменават това уязвимостта се дължи на неправилно сканиране на eBPF програми, предавани за изпълнение, тъй като подсистемата eBPF предоставя помощни функции, чиято коректност се проверява от специален верификатор.
Тази уязвимост позволява на местните нападатели да увеличат привилегиите
Засегнати инсталации на ядрото на Linux. Нападателят трябва първо да получи
способност за изпълнение на код с ниски привилегии на целевата система за
използват тази уязвимост.Специфичният недостатък съществува в работата с eBPF програми. Въпроса резултат от липса на подходящо валидиране на предоставени от потребителя eBPF програми преди да ги стартирате.
Освен, че, някои от функциите изискват стойността PTR_TO_MEM да бъде предадена като аргумент и проверяващият трябва да знае размера на паметта, свързана с аргумента, за да избегне потенциални проблеми с препълването на буфера.
Докато за функциите bpf_ringbuf_submit и bpf_ringbuf_discard, данните за размера на прехвърлената памет не се съобщават на проверяващия (оттук започва проблемът), от който нападателят се възползва, за да може да използва за презаписване на области на паметта извън границата на буфера, когато изпълнява специално изработен eBPF код.
Нападателят може да използва тази уязвимост за ескалирайте привилегиите и изпълнявайте код в контекста на ядрото. ЗАБЕЛЕЖЕТЕ, че непривилегированият bpf е деактивиран по подразбиране в повечето дистрибуции.
Споменава се, че за да може потребителят да извърши атака, потребителят трябва да може да зареди вашата BPF програма и много скорошни Linux дистрибуции блокират това по подразбиране (включително непривилегированият достъп до eBPF вече е забранен по подразбиране в самото ядро, от версия 5.16).
Например се споменава, че уязвимостта може да се използва в конфигурацията по подразбиране в дистрибуция, която все още е доста използвана и преди всичко много популярна, тъй като е Ubuntu 20.04 LTS, но в среди като Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 и Fedora 33, той се проявява само ако администраторът е задал параметъра kernel.unprivileged_bpf_disabled на 0.
Понастоящем, като заобиколно решение за блокиране на уязвимостта, се споменава, че можете да попречите на непривилегировани потребители да изпълняват BPF програми, като изпълните командата в терминал:
sysctl -w kernel.unprivileged_bpf_disabled=1
И накрая, трябва да се спомене, че проблемът се появи след ядрото на Linux 5.8 и остава непоправен (включително версия 5.16) и затова експлойт кодът ще бъде забавен за 7 дни и ще бъде публикуван в 12:00 UTC, тоест на 18 януари 2022 г.
С това Той е предназначен да осигури достатъчно време, за да бъдат предоставени коригиращите лепенки на потребителите на различните дистрибуции на Linux в рамките на официалните канали на всяка една от тях и както разработчиците, така и потребителите могат да коригират споменатата уязвимост.
За тези, които се интересуват да могат да знаят за състоянието на формирането на актуализации с елиминирането на проблема в някои от основните дистрибуции, те трябва да знаят, че могат да бъдат проследени от тези страници: Debian, RHEL, SUSE, Fedora, Ubuntu, Арх.
Ако сте заинтересовани да научите повече за това относно бележката, можете да прегледате оригиналното изявление В следващия линк.