Nedávno sdílíme zde na blogu zprávy o zájmu, který společnost Microsoft projevila o subsystému eGMP, Vzhledem k tomu, že vybudoval subsystém pro Windows, který používá metodu statické analýzy abstraktní interpretace, která ve srovnání s kontrolou eBPF pro Linux ukazuje nižší míru falešně pozitivních výsledků, podporuje analýzu smyček a poskytuje dobrou škálovatelnost.
Metoda bere v úvahu mnoho typických vzorců výkonu získaných analýzou stávajících programů eBPF. Tento subsystém eBPF je součástí jádra Linuxu od verze 3.18 a Umožňuje vám zpracovávat příchozí / odchozí síťové pakety, přeposílat pakety, řídit šířku pásma, zachycovat systémová volání, řídit přístup a monitorování.
A mluví se o tom, to bylo nedávno odhaleno byly identifikovány dvě nové chyby zabezpečení v subsystému eBPF, který vám umožňuje spouštět ovladače uvnitř linuxového jádra ve speciálním virtuálním stroji JIT.
Obě chyby zabezpečení poskytují příležitost ke spuštění kódu s právy jádra, mimo izolovaný virtuální stroj eBPF.
Informace o problémech byl publikován týmem Zero Day Initiative, která spouští soutěž Pwn2Own, během níž byly letos předvedeny tři útoky na Ubuntu Linux, při kterých byly použity dříve neznámé chyby zabezpečení (pokud chyby v eBPF souvisejí s těmito útoky, nejsou hlášeny).
Bylo zjištěno, že sledování limitu eBPF ALU32 pro bitové operace (AND, OR a XOR) 32bitové limity nebyly aktualizovány.
Manfred Paul (@_manfp) z týmu RedRocket CTF (@redrocket_ctf) s ním pracujeIniciativa Trend Micro Zero Day zjistila, že tato chyba zabezpečení mohlo by to být převedeno na mimo hranice čte a zapisuje do jádra. Tohle byla označeno jako ZDI-CAN-13590 a přiděleno CVE-2021-3490.
- CVE-2021-3490: Tato chyba zabezpečení je způsobena nedostatečným ověřením out-of-bounds pro 32bitové hodnoty při provádění bitových operací AND, OR a XOR na eBPF ALU32. Útočník může využít této chyby ke čtení a zápisu dat mimo limity přidělené vyrovnávací paměti. Problém s operacemi XOR existuje od jádra 5.7-rc1 a AND a OR od 5.10-rc1.
- CVE-2021-3489: Tato chyba zabezpečení je způsobena chybou v implementaci kruhové vyrovnávací paměti a souvisí se skutečností, že funkce bpf_ringbuf_reserve nekontrolovala možnost, že velikost oblasti přidělené paměti je menší než skutečná velikost vyrovnávací paměti ringbuf. Problém je evidentní od vydání 5.8-rc1.
Navíc, můžeme také pozorovat další zranitelnost jádra Linuxu: CVE-2021-32606, který umožňuje místnímu uživateli povýšit svá oprávnění na kořenovou úroveň. Problém se projevuje od linuxového jádra 5.11 a je způsoben rasovým stavem při implementaci protokolu CAN ISOTP, který umožňuje měnit parametry vazby soketů kvůli nedostatečné konfiguraci správných zámků v isotp_setsockopt () když je příznak zpracován CAN_ISOTP_SF_BROADCAST.
Jednou zásuvka, ISOTP nadále se váže na zásuvku přijímače, která může i nadále používat struktury spojené se soketem po uvolnění přidružené paměti (use-after-free kvůli volání struktury isotp_sock již uvolněno, když volámsotp_rcv(). Manipulací s daty můžete přepsat ukazatel na funkci sk_error_report () a spusťte kód na úrovni jádra.
Stav oprav chyb zabezpečení v distribucích lze sledovat na těchto stránkách: ubuntu, Debian, RHEL, Fedora, SUSE, Oblouk).
Opravy jsou také k dispozici jako opravy (CVE-2021-3489 a CVE-2021-3490). Využití problému závisí na dostupnosti volání do systému eBPF pro uživatele. Například ve výchozím nastavení na RHEL vyžaduje zneužití této chyby zabezpečení, aby měl uživatel oprávnění CAP_SYS_ADMIN.
Konečně pokud o tom chcete vědět víc, můžete zkontrolovat podrobnosti Na následujícím odkazu.