Nedavno ovdje na blogu dijelimo vijesti o interesu koji je Microsoft pokazao o podsustavu eGMP, Budući da je izgradio podsistem za Windows koji koristi metodu statičke analize apstraktne interpretacije, koja u usporedbi s eBPF provjerom za Linux pokazuje nižu stopu lažnih pozitivnih rezultata, podržava analizu petlje i pruža dobru skalabilnost.
Metoda uzima u obzir mnoge tipične obrasce performansi dobivene analizom postojećih eBPF programa. Ovaj eBPF podsistem je uključen u Linux kernel od verzije 3.18 i Omogućuje vam obradu dolaznih / odlaznih mrežnih paketa, prosljeđivanje paketa, kontrolu propusnosti, presretanje sistemskih poziva, kontrolu pristupa i nadgledanje.
I govori li to o tome, nedavno je otkriveno da identificirane su dvije nove ranjivosti u podsustavu eBPF, koji vam omogućava pokretanje upravljačkih programa unutar jezgre Linuxa u posebnoj JIT virtualnoj mašini.
Obje ranjivosti pružaju mogućnost pokretanja koda s pravima na jezgru, izvan izolirane eBPF virtualne mašine.
Informacije o problemima je objavio tim Zero Day Initiative, koja vodi natjecanje Pwn2Own tijekom kojeg su ove godine prikazana tri napada na Ubuntu Linux, u kojima su korištene ranije nepoznate ranjivosti (ako su ranjivosti u eBPF-u povezane s tim napadima, to se ne izvještava).
Otkriveno je da eBPF ALU32 ograničava praćenje za bitne operacije (AND, OR i XOR) 32-bitna ograničenja nisu ažurirana.
Manfred Paul (@_manfp) iz RedRocket CTF tima (@redrocket_ctf) koji radi s njimInicijativa Zero Day kompanije Trend Micro otkrila je da je ova ranjivost može se pretvoriti u čitanje i pisanje u jezgru izvan granica. Ovo je bilo prijavljen kao ZDI-CAN-13590 i dodijeljen CVE-2021-3490.
- CVE-2021-3490: Ranjivost je posljedica nedostatka izvangranične provjere za 32-bitne vrijednosti pri izvođenju bitnih operacija AND, OR i XOR na eBPF ALU32. Napadač može iskoristiti ovu grešku za čitanje i pisanje podataka izvan granica dodijeljenog međuspremnika. Problem s XOR operacijama postoji od jezgre 5.7-rc1, a AND i OR od 5.10-rc1.
- CVE-2021-3489: Ranjivost je uzrokovana greškom u implementaciji međuspremnika zvona i povezana je s činjenicom da funkcija bpf_ringbuf_reserve nije provjerila mogućnost da je veličina dodijeljene memorijske površine manja od stvarne veličine međuspremnika zvona. Problem je očit od izdavanja 5.8-rc1.
Takođe, možemo primijetiti još jednu ranjivost u Linux jezgri: CVE-2021-32606, koji omogućuje lokalnom korisniku da podigne svoje privilegije na korijenski nivo. Problem se očituje od Linux kernela 5.11, a uzrokovan je rasnim uvjetima u implementaciji CAN ISOTP protokola, što omogućava promjenu parametara vezivanja soketa zbog nedostatka konfiguracije ispravnih brava u isotp_setsockopt () kada se zastava obradi CAN_ISOTP_SF_BROADCAST.
Jednom utičnica, ISOTP nastavlja se vezati za utičnicu prijemnika, koja može nastaviti koristiti strukture pridružene soketu nakon što se pridružena memorija oslobodi (use-after-free zbog poziva strukture) isotp_sock već pušteno kad nazovemsotp_rcv(). Manipuliranjem podacima možete poništiti pokazivač na funkciju sk_error_report () i pokrenite svoj kôd na razini kernela.
Status ispravki ranjivosti u distribucijama može se pratiti na ovim stranicama: Ubuntu, Debian, RHEL, fedora, SUSE, svod).
Ispravci su dostupni i kao zakrpe (CVE-2021-3489 i CVE-2021-3490). Iskorištavanje problema ovisi o dostupnosti poziva eBPF sustavu za korisnika. Na primjer, u zadanim postavkama na RHEL, eksploatacija ranjivosti zahtijeva da korisnik ima CAP_SYS_ADMIN privilegije.
Konačno ako želite znati više o tome, možete provjeriti detalje Na sledećem linku.