Wenn sie ausgenutzt werden, können diese Schwachstellen Angreifern den unbefugten Zugriff auf vertrauliche Informationen ermöglichen oder allgemein Probleme verursachen
Das brachte die Nachricht kürzlichIm Linux-Kernel wurden zwei Sicherheitslücken identifiziert (bereits unter CVE-2022-42896 katalogisiert), die potenziell kann verwendet werden, um die Ausführung von Remotecode zu orchestrieren auf Kernel-Ebene, indem ein speziell gestaltetes L2CAP-Paket über Bluetooth gesendet wird.
Es wird das erwähnt Die erste Schwachstelle (CVE-2022-42896) tritt beim Zugriff auf einen bereits freigegebenen Speicherbereich auf (use-after-free) in der Implementierung der Funktionen l2cap_connect und l2cap_le_connect_req.
Fehler nach dem Erstellen eines Kanals genutzt werden per Rückruf Anruf neue Verbindung, die das Setup dafür nicht blockiert, aber einen Timer setzt (__set_chan_timer), nach einem Timeout, Aufruf der Funktion l2cap_chan_timeout und Reinigen des Kanals, ohne den Abschluss der Arbeit mit dem Kanal in den Funktionen zu prüfen l2cap_le_connect*.
Das Standard-Timeout beträgt 40 Sekunden, und es wurde angenommen, dass eine Race-Condition nicht mit so viel Verzögerung auftreten kann, aber es stellte sich heraus, dass es aufgrund eines anderen Fehlers im SMP-Treiber möglich war, den Timer sofort aufzurufen und die Race-Condition zu erreichen.
Ein Problem in l2cap_le_connect_req kann ein Kernel-Speicherleck verursachen, und in l2cap_connect können Sie den Inhalt des Speichers überschreiben und Ihren Code ausführen. Die erste Angriffsvariante kann mit Bluetooth LE 4.0 (seit 2009), die zweite mit Bluetooth BR/EDR 5.2 (seit 2020) durchgeführt werden.
In den Linux-Kernelfunktionen l2cap_connect und l2cap_le_connect_req net/bluetooth/l2cap_core.c gibt es Sicherheitslücken nach der Veröffentlichung, die eine Codeausführung bzw. ein Kernel-Speicherleck (jeweils) aus der Ferne über Bluetooth ermöglichen können. Ein entfernter Angreifer könnte Code ausführen, der Kernel-Speicher über Bluetooth verliert, wenn er sich in unmittelbarer Nähe des Opfers befindet. Wir empfehlen, das bisherige Commit https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4 zu aktualisieren
Die zweite Sicherheitslücke das erkannt wurde (bereits unter CVE-2022-42895 katalogisiert) ist verursacht durch ein Restspeicherleck in der Funktion l2cap_parse_conf_req, die verwendet werden können, um Informationen über Zeiger auf Kernelstrukturen aus der Ferne zu erhalten, indem speziell gestaltete Konfigurationsanforderungen gesendet werden.
Über diese Schwachstelle wird das erwähnt in der Funktion l2cap_parse_conf_req wurde die Struktur l2cap_conf_efs verwendet, für die der zugewiesene Speicher zuvor nicht initialisiert wurde, und durch Manipulationen mit dem Flag FLAG_EFS_ENABLE, die Einbeziehung alter Daten konnte erreicht werden der Batterie in der Verpackung.
das Kanalflag FLAG_EFS_ENABLE anstelle der Variable remote_efs zu entscheiden, ob die l2cap_conf_efs efs-Struktur verwendet werden soll oder nicht und Es ist möglich, das Flag FLAG_EFS_ENABLE zu setzen, ohne tatsächlich EFS-Konfigurationsdaten zu senden und in diesem Fall die nicht initialisierte l2cap_conf_efs efs-Struktur wird an den Remote-Client zurückgesendet, wodurch Informationen darüber verloren gehen Inhalte des Kernel-Speichers, einschließlich Kernel-Zeiger.
Das Problem tritt nur auf Systemen auf, auf denen der Kernel Es wird mit der Option CONFIG_BT_HS erstellt (standardmäßig deaktiviert, aber bei einigen Distributionen wie Ubuntu aktiviert). Für einen erfolgreichen Angriff muss außerdem der Parameter HCI_HS_ENABLED über die Verwaltungsschnittstelle auf „true“ gesetzt werden (er wird standardmäßig nicht verwendet).
Bei diesen beiden entdeckten Fehlern wurden bereits Exploit-Prototypen veröffentlicht, die auf Ubuntu 22.04 laufen, um die Möglichkeit eines Remote-Angriffs zu demonstrieren.
Um den Angriff auszuführen, muss sich der Angreifer in Bluetooth-Reichweite befinden; Es ist keine vorherige Kopplung erforderlich, aber Bluetooth muss auf dem Computer aktiv sein. Für einen Angriff reicht es aus, die MAC-Adresse des Opfergeräts zu kennen, die durch Sniffing ermittelt oder bei manchen Geräten anhand der WLAN-MAC-Adresse berechnet werden kann.
Abschließend sei noch erwähnt, dass ein weiteres ähnliches Problem wurde identifiziert (CVE-2022-42895) im L2CAP-Controller die Kernel-Speicherinhalt in Konfigurationsinformationspaketen lecken können. Die erste Schwachstelle ist seit August 2014 (Kernel 3.16) aufgetreten, die zweite seit Oktober 2011 (Kernel 3.0).
Diejenigen, die daran interessiert sind, die Korrektur in den Ausschüttungen zu verfolgen, können dies auf den folgenden Seiten tun: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora y Bogen .