Πριν από λίγες ημέρες κυκλοφόρησαν τα νέα βρέθηκαν μια σειρά από τρωτά σημεία σε swhkd (Simple Wayland HotKey Daemon) που προκαλείται από λανθασμένο χειρισμό προσωρινών αρχείων, επιλογών γραμμής εντολών και υποδοχών unix.
Το πρόγραμμα είναι γραμμένο σε Rust και χειρίζεται πλήκτρα πρόσβασης σε περιβάλλοντα που βασίζονται στο πρωτόκολλο Wayland (ένα ανάλογο συμβατό με αρχείο διαμόρφωσης της διαδικασίας sxhkd που χρησιμοποιείται σε περιβάλλοντα που βασίζονται σε X11). Το πακέτο περιλαμβάνει μια μη προνομιακή διαδικασία swhks που εκτελεί ενέργειες των πλήκτρων πρόσβασης και μια διαδικασία παρασκηνίου swhkd που εκτελείται ως root και αλληλεπιδρά με συσκευές εισόδου σε επίπεδο API uinput. Για την οργάνωση της αλληλεπίδρασης μεταξύ swhks και swhkd, χρησιμοποιείται μια υποδοχή Unix.
Οι κανόνες του Polkit επιτρέπουν σε κάθε τοπικό χρήστη να εκτελέσει τη διαδικασία /usr/bin/swhkd ως root και να της μεταβιβάσει αυθαίρετες παραμέτρους.
Ενσωμάτωση πακέτου RPM που κυκλοφόρησε για το openSUSE Το Tumbleweed περιείχε ασυνήθιστους κανόνες Polkit στο αρχείο ορισμού που απαιτούσε έλεγχο από την ομάδα ασφαλείας SUSE.
Ως αποτέλεσμα της εξέτασης, εντοπίστηκαν πολλά ζητήματα ασφάλειας. Τα επιμέρους προβλήματα περιγράφονται στην παρακάτω αναλυτική αναφορά.
Από το ευπάθειες που εντοπίστηκαν, αναφέρονται τα εξής:
CVE-2022-27815
Αυτή η ευπάθεια επιτρέπει τη δυνατότητα αποθήκευσης ενός PID διεργασίας σε ένα αρχείο με προβλέψιμο όνομα και σε έναν κατάλογο στον οποίο μπορούν να γράψουν άλλοι χρήστες (/tmp/swhkd.pid), ώστε οποιοσδήποτε χρήστης να μπορεί να δημιουργήσει ένα αρχείο /tmp/swhkd.pid και να βάλει το pid μιας υπάρχουσας διεργασίας σε αυτό, κάτι που θα καθιστά αδύνατη την έναρξη του swhkd .
Ελλείψει προστασίας από τη δημιουργία συμβολικών συνδέσμων στο /tmp, η ευπάθεια μπορεί να χρησιμοποιηθεί για τη δημιουργία ή την αντικατάσταση αρχείων σε οποιονδήποτε κατάλογο του συστήματος (το PID γράφεται στο αρχείο) ή προσδιορίστε τα περιεχόμενα οποιουδήποτε αρχείου στο σύστημα (το swhkd εξάγει ολόκληρο το περιεχόμενο του αρχείου PID στο stdout). Πρέπει να σημειωθεί ότι στην επιδιόρθωση που κυκλοφόρησε, το αρχείο PID δεν μετακινήθηκε στον κατάλογο /run, αλλά στον κατάλογο /etc (/etc/swhkd/runtime/swhkd_{uid}.pid), όπου επίσης δεν ανήκει .
CVE-2022-27814
Αυτή η ευπάθεια σας επιτρέπει να χειριστείτε την επιλογή της γραμμής εντολών "-c" για να καθορίσετε ένα αρχείο διαμόρφωσης μπορεί να προσδιορίσει την ύπαρξη οποιουδήποτε αρχείου στο σύστημα.
Όπως και στην περίπτωση της πρώτης ευπάθειας, η επίλυση του προβλήματος είναι μπερδεμένη: η επιδιόρθωση του προβλήματος καταλήγει στο γεγονός ότι το εξωτερικό βοηθητικό πρόγραμμα "cat" ('Command::new("/bin/cat").arg(path) είναι τώρα εκκινήθηκε για να διαβάσει το αρχείο config.output()').
CVE-2022-27819
Αυτό το πρόβλημα σχετίζεται επίσης με τη χρήση της επιλογής "-c"., το οποίο φορτώνει και αναλύει ολόκληρο το αρχείο διαμόρφωσης χωρίς να ελέγχει το μέγεθος και τον τύπο του αρχείου.
Για παράδειγμα, για να προκαλέσετε άρνηση υπηρεσίας λόγω εξάντλησης της ελεύθερης μνήμης και δημιουργίας παρασιτικών I/O, μπορείτε να καθορίσετε μια συσκευή μπλοκ κατά την εκκίνηση ("pkexec /usr/bin/swhkd -d -c /dev/sda ») ή μια συσκευή χαρακτήρων που εξάγει μια άπειρη ροή δεδομένων.
Το πρόβλημα επιλύθηκε με επαναφορά των δικαιωμάτων πριν από το άνοιγμα του αρχείου, αλλά η λύση δεν ολοκληρώθηκε καθώς γίνεται επαναφορά μόνο του User ID (UID), αλλά το Group ID (GID) παραμένει το ίδιο.
CVE-2022-27818
Αυτή η ευπάθεια σας επιτρέπει να χρησιμοποιήσετε ένα αρχείο /tmp/swhkd.sock για να δημιουργήσετε μια υποδοχή Unix, το οποίο δημιουργείται σε έναν δημόσιο εγγράψιμο κατάλογο, προκαλώντας παρόμοια προβλήματα με την πρώτη ευπάθεια (κάθε χρήστης μπορεί να δημιουργήσει /tmp/swhkd. sock και να δημιουργήσει ή να παγιδεύσει συμβάντα πατήματος πλήκτρων).
CVE-2022-27817
Σε αυτή την ευπάθεια, Τα συμβάντα εισόδου λαμβάνονται από όλες τις συσκευές και σε όλες τις περιόδους λειτουργίας, δηλαδή, ένας χρήστης σε άλλη περίοδο λειτουργίας Wayland ή κονσόλας μπορεί να παρεμποδίσει συμβάντα όταν άλλοι χρήστες πατήσουν πλήκτρα πρόσβασης.
CVE-2022-27816
Η διαδικασία swhks, όπως και το swhkd, χρησιμοποιεί το αρχείο PID /tmp/swhks.pid στον δημόσια εγγράψιμο κατάλογο /tmp. Το ζήτημα είναι παρόμοιο με το πρώτο θέμα ευπάθειας, αλλά όχι τόσο επικίνδυνο, καθώς το swhks εκτελείται κάτω από μη προνομιούχο χρήστη.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε το λεπτομέρειες στον παρακάτω σύνδεσμο.