Cisco Talos -tutkijat julkaisivat Muutama päivä sitten haavoittuvuus Linux-ytimessä, jota voidaan hyödyntää tietojen varastamiseen ja toimii myös keinona lisätä oikeuksia ja vaarantaa järjestelmä.
Haavoittuvuus kuvataan 'tietojen paljastamisen haavoittuvuudeksi mikä voi antaa hyökkääjälle mahdollisuuden nähdä ytimen pinon muisti. '
CVE-2020-28588 on haavoittuvuus löydetty ARM-laitteista proc / pid / syscall-toiminnoista 32-bittiset laitteet, jotka käyttävät käyttöjärjestelmää. Cisco Talosin mukaan ongelma löydettiin ensin laitteesta, jossa on Azure Sphere.
Linux Kernel 5.1 Stable- ja 5.4.66-tiedostojen / proc / pid / syscall -toiminnoissa on tietojen paljastumishaavoittuvuus. Tarkemmin sanottuna tämä ongelma on otettu käyttöön versiossa v5.1-rc4 (sitoutuu 631b7abacd02b88f4b0795c08b54ad4fc3e7c7c0) ja on edelleen läsnä versiossa v5.10-rc4, joten se vaikuttaa todennäköisesti kaikkiin väliversioihin. Hyökkääjä voi lukea / proc / pid / syscall aktivoidakseen tämän haavoittuvuuden, jolloin ydin menettää muistisisältöä.
Proc on erityinen pseudotiedostojärjestelmä Unix-tyyppisissä käyttöjärjestelmissä käytetään prosessidatan dynaamiseen käyttöön löytyy ytimestä. Esittää prosessitiedot ja muut järjestelmätiedot hierarkkisessa tiedostomaisessa rakenteessa.
Esimerkiksi se sisältää alihakemistoja / proc / [pid], joista kukin sisältää tiedostoja ja alihakemistoja, jotka paljastavat tietoja tietyistä prosesseista, luettavissa vastaavaa prosessitunnusta käyttämällä. "Syscall" -tiedoston tapauksessa se on laillinen Linux-käyttöjärjestelmätiedosto, joka sisältää lokit ytimen käyttämistä järjestelmäkutsuista.
Yrityksen puolesta, lHakkerit voisivat hyödyntää virhettä ja käyttää käyttöjärjestelmää ja syscall-tiedostoa järjestelmän kautta, jota käytetään vuorovaikutuksessa ytimen tietorakenteiden kanssa, Proc. Syscall procfs -merkintää voitaisiin hyödyntää, jos hakkerit antavat komentoja 24 tavun alustamattoman kasamuistin luomiseksi, mikä johtaa ytimen osoitetilan asettamisen satunnaistamisen (KASLR) ohittamiseen.
Tarkasteltaessa tätä erityistä toimintoa kaikki näyttää hyvältä, mutta on syytä huomata, että
argshyväksytty parametri tuliproc_pid_syscallon sellaisenaan tyypiltään__u64 args. ARM-järjestelmässä funktion määritys muuntaaargtaulukko neljän tavun elementeissä kahdeksasta tavusta (vuodestaunsigned longARM: ssä se on 4 tavua), mikä johtaa siihenmemcpykopioidaan 20 tavuun (plus 4 tiedostoa)args[0]).Vastaavasti i386: lle, missä
unsigned longse on 4 tavua, vainargsargumentin ensimmäiset 24 tavua kirjoitetaan, jolloin loput 24 tavua pysyvät ennallaan.Molemmissa tapauksissa, jos katsomme taaksepäin
proc_pid_syscalltoiminto.Kun 32-bittisissä ARM: ssä ja i386: ssa kopioimme vain 24 tavua
argstaulukko, muoto merkkijono päätyy lukemaan 48 tavuaargsmatriisi, koska%llxFormat-merkkijono on kahdeksan tavua 32- ja 64-bittisissä järjestelmissä. Joten 24 tavua alustamatonta kasamuistia saa lopputuloksen, mikä voi johtaa KASLR-ohitukseen.
Tutkijat toteavat sen tätä hyökkäystä on "mahdotonta havaita etänä verkossa" koska se lukee laillista tiedostoa Linux-käyttöjärjestelmästä. "Oikein käytettynä hakkeri voi hyödyntää tätä tietovuotoa hyödyntääkseen muita korjaamattomia Linux-haavoittuvuuksia", Cisco sanoo.
Tältä osin Google sanoi äskettäin:
”Muistin suojausvirheet uhkaavat usein laitteiden, erityisesti sovellusten ja käyttöjärjestelmien, turvallisuutta. Esimerkiksi Android-mobiilikäyttöjärjestelmässä, jota myös Linux-ydin tukee, Google sanoo löytäneensä, että yli puolet vuonna 2019 korjatuista tietoturva-aukoista johtui muistin suojausvirheistä.
Viimeinen mutta ei vähäisin On suositeltavaa päivittää Linux-ytimen versiot 5.10-rc4, 5.4.66, 5.9.8, koska Tämä haavoittuvuus on testattu ja vahvistettu voidakseen hyödyntää Linux-ytimen seuraavia versioita.
Vihdoin jos olet kiinnostunut tietämään siitä lisää Tietoja postauksesta voit tarkistaa yksityiskohdat seuraava linkki.