Před pár dny byly zveřejněny zprávy, že zranitelnost byla identifikována (již katalogizováno pod CVE-2022-0185) an kontextové rozhraní API systému souborů poskytuje linuxové jádro což by mohlo umožnit místnímu uživateli získat práva root v systému.
Je to zmíněno problém je v tom, že neprivilegovaný uživatel může získat taková oprávnění v izolovaném kontejneru pokud je v systému povolena podpora pro uživatelské jmenné prostory.
Například uživatelské jmenné prostory jsou standardně povoleny na Ubuntu a Fedoře, ale nejsou povoleny na Debianu a RHEL (pokud se nepoužívají platformy pro izolaci kontejnerů). Kromě eskalace oprávnění lze tuto chybu zabezpečení použít také k prolomení izolovaného kontejneru, pokud má kontejner oprávnění CAP_SYS_ADMIN.
Zranitelnost existuje ve funkci legacy_parse_param() ve VFS a je způsobeno nedostatečným řádným ověřením maximální velikosti dodaných parametrů na systémech souborů, které nepodporují kontextové API systému souborů.
Nedávno jsme se s několika přáteli v mém týmu CTF Crusaders of Rust setkali s přetečením haldy linuxového jádra za 0 dní. Chybu jsme našli pomocí fuzzingu pomocí syzkaller a rychle jsme z ní vyvinuli exploit Ubuntu LPE. Poté jsme jej přepsali, abychom unikli a rootovali posílenou infrastrukturu Kubernetes CTF společnosti Google. Tato chyba se týká všech verzí jádra od 5.1 (5.16 se aktuálně zpracovává) a byla přiřazena CVE-2022-0185. Již jsme to nahlásili do mailing listu distribuce Linuxu a zabezpečení a chyba byla opravena k vydání tohoto článku.
Předání příliš velkého parametru může způsobit přetečení celočíselné proměnné použité k výpočtu velikosti zapisovaných dat; kód má kontrolu přetečení vyrovnávací paměti "if (délka > PAGE_SIZE - 2 - velikost)", která nefunguje, pokud je hodnota velikosti větší než 4094 kvůli přetečení celého čísla přes spodní hranici (přetečení celého čísla, když se převádí 4096 – 2 – 4095 na unsigned int, dostane 2147483648).
Tato chyba umožňuje při přístupu ke speciálně vytvořenému obrazu FS, způsobit přetečení vyrovnávací paměti a přepsat data jádra po přidělené oblasti paměti. Pro zneužití zranitelnosti jsou vyžadována práva CAP_SYS_ADMIN, tj. oprávnění správce.
Od roku 2022 se naši týmoví kolegové rozhodli najít v roce 0 den 2022. Nebyli jsme si úplně jisti, jak přesně začít, ale protože náš tým měl vysokou míru obeznámenosti se zranitelnostmi linuxového jádra, rozhodli jsme se prostě koupit nějaké dedikované servery. a spusťte syzkaller fuzzer společnosti Google. 6. ledna ve 22:30 PST obdržel chop0 následující zprávu o selhání KASAN v legacy_parse_param: slab-out-of-bounds Zapište do legacy_parse_param. Zdá se, že yzbot našel tento problém pouze o 6 dní dříve při fuzzování Androidu, ale problém nebyl vyřešen a my jsme si naivně mysleli, že si toho nikdo nevšiml.
Na závěr je vhodné zmínit, že problém se projevuje již od linuxového jádra verze 5.1 a byl vyřešen v aktualizacích, které vyšly před pár dny ve verzích 5.16.2, 5.15.16, 5.10.93, 5.4.173.
kromě toho aktualizace balíčků zranitelnosti již byly vydány bod RHEL, Debian, fedora a ubuntu. Zatímco řešení ještě není k dispozici na Arch Linux, Gentoo, SUSE y openSUSE.
V případě těchto je zmíněno, že jako bezpečnostní řešení pro systémy, které nepoužívají izolaci kontejnerů, můžete nastavit hodnotu sysctl "user.max_user_namespaces" na 0:
Výzkumník, který problém identifikoval, publikoval ukázka exploitu que umožňuje spouštění kódu jako root na Ubuntu 20.04 ve výchozí konfiguraci. Plánuje se to exploit kód je zveřejněn na GitHubu do týdne poté že distribuce vydávají aktualizaci, která tuto chybu zabezpečení opravuje.
Konečně pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti v následující odkaz.
Další důvod, proč se nedotýkat snapu holí.