nylig vi deler her på bloggen nyheden om den interesse, som Microsoft har vist om delsystemet eGMP, Da det har bygget et undersystem til Windows, der bruger den abstrakte fortolkningsmetode for statisk analyse, der sammenlignet med eBPF-kontrollen til Linux viser en lavere falsk positiv hastighed, understøtter loop-analyse og giver god skalerbarhed.
Metoden tager højde for mange typiske præstationsmønstre opnået ved analysen af eksisterende eBPF-programmer. Dette eBPF-undersystem har været inkluderet i Linux-kernen siden version 3.18 og Det giver dig mulighed for at behandle indgående / udgående netværkspakker, videresendelse af pakker, kontrol af båndbredde, aflytning af systemopkald, styring af adgang og sporing.
Og er det at tale om det, det blev for nylig afsløret, at to nye sårbarheder er blevet identificeret i delsystemet eBPF, som giver dig mulighed for at køre drivere inde i Linux-kernen på en speciel JIT virtuel maskine.
Begge sårbarheder giver mulighed for at køre kode med kernerettigheder, uden for den isolerede eBPF virtuelle maskine.
Information om problemerne blev udgivet af Zero Day Initiative team, der kører Pwn2Own-konkurrencen, hvor i år blev demonstreret tre angreb på Ubuntu Linux, hvor tidligere ukendte sårbarheder blev brugt (hvis svaghederne i eBPF er relateret til disse angreb, rapporteres det ikke).
Det blev opdaget, at eBPF ALU32 begrænser sporing til bitvise operationer (AND, OR og XOR) 32-bit grænser blev ikke opdateret.
Manfred Paul (@_manfp) fra RedRocket CTF-teamet (@redrocket_ctf) arbejder sammen med hamTrend Micros Zero Day-initiativ opdagede, at denne sårbarhed det kan blive til uden for grænserne læser og skriver i kernen. Dette har været rapporteret som ZDI-CAN-13590 og tildelt CVE-2021-3490.
- CVE-2021-3490: Sårbarheden skyldes manglende verifikation uden for grænserne for 32-bit-værdier, når du udfører bitvise AND-, OR- og XOR-operationer på eBPF ALU32. En hacker kan udnytte denne fejl til at læse og skrive data uden for den tildelte buffer. Problemet med XOR-operationer har eksisteret siden kerne 5.7-rc1, og AND og OR siden 5.10-rc1.
- CVE-2021-3489: sårbarheden er forårsaget af en fejl i ringbufferimplementeringen og er relateret til det faktum, at funktionen bpf_ringbuf_reserve ikke kontrollerede muligheden for, at størrelsen på det tildelte hukommelsesområde er mindre end den faktiske størrelse af ringbuf-bufferen. Problemet har været tydeligt siden frigivelsen af 5.8-rc1.
Derudover Vi kan også observere en anden sårbarhed i Linux-kernen: CVE-2021-32606, hvilket tillader en lokal bruger at hæve deres privilegier til rodniveauet. Problemet manifesterer sig siden Linux-kernen 5.11 og er forårsaget af en race-tilstand i implementeringen af CAN ISOTP-protokollen, hvilket gør det muligt at ændre parametre for socket-binding på grund af manglende konfiguration af de korrekte låse i isotp_setsockopt () når flaget behandles CAN_ISOTP_SF_BROADCAST.
En gang stikkontakt, ISOTP fortsætter med at binde til modtagerstikket, som kan fortsætte med at bruge de strukturer, der er forbundet med stikket, efter at den tilknyttede hukommelse er frigjort (brug efter-fri på grund af strukturopkaldet isotp_sok allerede frigivet, når jeg ringersotp_rcv(). Ved at manipulere data kan du tilsidesætte markøren til funktionen sk_error_report () og kør din kode på kerneniveau.
Status på rettelser for sårbarheder i distributioner kan spores på disse sider: Ubuntu, Debian, RHEL, Fedora, SUSE, Arch).
Rettelserne er også tilgængelige som programrettelser (CVE-2021-3489 og CVE-2021-3490). Udnyttelsen af problemet afhænger af tilgængeligheden af opkaldet til eBPF-systemet for brugeren. For eksempel i standardkonfigurationen på RHEL kræver udnyttelse af sårbarheden, at brugeren har CAP_SYS_ADMIN-rettigheder.
Endelig hvis du vil vide mere om det, du kan kontrollere detaljerne I det følgende link.