Hiljuti avaldas see uudis tuvastas uue haavatavuse (juba kataloogitud CVE-2021-4204 all) eBPF alamsüsteemis (vahelduseks) ...
Ja asi on selles, et eBPF-i alamsüsteem ei ole lakanud olemast Kerneli suureks turvaprobleemiks, sest kogu 2021. aasta jooksul avalikustati kuus kaks turvaauku, millest mõnest siin blogis räägime.
Praeguse probleemi üksikasjade kohta mainitakse, et tuvastatud haavatavus võimaldab draiveril töötada Linuxi tuumas spetsiaalses JIT virtuaalmasinas ja mis omakorda võimaldab privilegeerimata kohalikul kasutajal privileege eskaleerida ja oma koodi kerneli tasemel käivitada.
Probleemi kirjelduses mainivad nad seda haavatavus on tingitud täitmiseks edastatud eBPF-programmide ebaõigest skannimisest, kuna eBPF-i alamsüsteem pakub abifunktsioone, mille õigsust kontrollib spetsiaalne kontrollija.
See haavatavus võimaldab kohalikel ründajatel oma privileege suurendada
Mõjutatud Linuxi tuuma installid. Ründaja peab esmalt hankima
võime käitada sihtsüsteemis madalate õigustega koodi
seda haavatavust ära kasutada.Konkreetne viga on eBPF-programmide käsitlemisel. Küsimus tuleneb kasutaja tarnitud eBPF-programmide nõuetekohase valideerimise puudumisest enne nende käivitamist.
Peale selle, mõned funktsioonid nõuavad PTR_TO_MEM väärtuse edastamist argumendina ja kontrollija peab teadma argumendiga seotud mälu suurust, et vältida võimalikke puhvri ületäitumise probleeme.
Kuigi funktsioonide jaoks bpf_ringbuf_submit ja bpf_ringbuf_discard, andmeid ülekantud mälu suuruse kohta ei edastata tõendajale (siit saab probleem alguse), mida ründaja kasutab ära selleks, et spetsiaalselt koostatud eBPF-koodi täitmisel kasutada puhvri piiridest väljaspool asuvate mälualade ülekirjutamiseks.
Ründaja saab seda haavatavust ära kasutada suurendada privileege ja käivitada kood kerneli kontekstis. MÄRKUS, et privilegeerimata bpf on enamikus distributsioonides vaikimisi keelatud.
Mainitakse, et selleks, et kasutaja saaks rünnata, kasutaja peab saama laadida teie BPF-programmi ja paljud hiljutised Linuxi distributsioonid blokeerivad selle vaikimisi (sealhulgas privilegeerimata juurdepääs eBPF-ile on nüüd tuumas endas alates versioonist 5.16 vaikimisi keelatud).
Näiteks mainitakse, et haavatavus saab kasutada vaikekonfiguratsioonis distributsioon, mis on endiselt üsna kasutatav ja ennekõike väga populaarne Ubuntu 20.04 LTS, kuid sellistes keskkondades nagu Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 ja Fedora 33 ilmneb see ainult siis, kui administraator on parameetri määranud kernel.unprivileged_bpf_disabled väärtusele 0.
Praegu mainitakse haavatavuse blokeerimise lahendusena, et saate takistada privilegeeritud kasutajatel BPF-i programme käivitamast, käivitades terminalis käsu:
sysctl -w kernel.unprivileged_bpf_disabled=1
Lõpuks tuleb mainida, et probleem on ilmnenud alates Linuxi kernelist 5.8 ja jääb parandamata (kaasa arvatud versioon 5.16) ja sellepärast kasutuskood viibib 7 päeva ja avaldatakse kell 12 UTC, st 00. jaanuaril 18.
Sellega selle eesmärk on anda piisavalt aega korrigeerivate plaastrite kättesaadavaks tegemiseks erinevate Linuxi distributsioonide kasutajad nende ametlikes kanalites ning nii arendajad kui ka kasutajad saavad selle haavatavuse parandada.
Neile, kes soovivad teada saada värskenduste moodustamise olekut koos mõne peamise distributsiooni probleemi kõrvaldamisega, peaksid nad teadma, et neid saab jälgida järgmistelt lehtedelt: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch.
Kui olete huvitatud sellest rohkem teada Sedeli kohta saate tutvuda algse avaldusega Järgmisel lingil.