äskettäin jaamme täällä blogissa uutiset Microsoftin osoittamasta kiinnostuksesta osajärjestelmästä eGMP, Koska se on rakentanut Windows-alijärjestelmän, joka käyttää abstraktin tulkinnan staattista analyysimenetelmää, joka Linuxin eBPF-tarkistimeen verrattuna osoittaa pienemmän väärän positiivisen määrän, tukee silmukka-analyysiä ja tarjoaa hyvän skaalautuvuuden.
Menetelmä ottaa huomioon monet tyypilliset suorituskykymallit, jotka on saatu analysoimalla olemassa olevia eBPF-ohjelmia. Tämä eBPF-alijärjestelmä on sisällytetty Linux-ytimeen versiosta 3.18 ja Sen avulla voit käsitellä saapuvia / lähteviä verkkopaketteja, edelleenlähettää paketteja, hallita kaistanleveyttä, siepata järjestelmäpuheluja, hallita pääsyä ja seurantaa.
Ja puhummeko siitä, se paljastettiin äskettäin kaksi uutta haavoittuvuutta on tunnistettu osajärjestelmässä eBPF, jonka avulla voit ajaa ohjaimia Linux-ytimen sisällä erityisessä JIT-virtuaalikoneessa.
Molemmat haavoittuvuudet tarjoavat mahdollisuuden suorittaa koodi ytimen oikeuksilla, eristetyn eBPF-virtuaalikoneen ulkopuolella.
Tiedot ongelmista julkaisi Zero Day Initiative -tiimi, joka suorittaa Pwn2Own-kilpailun, jonka aikana tänä vuonna osoitettiin kolme hyökkäystä Ubuntu Linuxia vastaan, joissa käytettiin aiemmin tuntemattomia haavoittuvuuksia (jos eBPF: n haavoittuvuudet liittyvät näihin hyökkäyksiin, siitä ei ilmoiteta).
EBPF ALU32 rajoittaa seurantaa bittioperaatioille (AND, OR ja XOR) 32-bittisiä rajoituksia ei päivitetty.
Manfred Paul (@_manfp) RedRocket CTF -tiimistä (@redrocket_ctf) työskentelee hänen kanssaanTrend Micron Zero Day -hanke havaitsi tämän haavoittuvuuden se voidaan muuntaa ytimen ulkopuolisiksi luku- ja kirjoitustiedoiksi. Tämä on ollut raportoitu nimellä ZDI-CAN-13590 ja nimetty CVE-2021-3490.
- CVE-2021-3490: Haavoittuvuus johtuu 32-bittisten arvojen rajat ylittävän vahvistuksen puutteesta, kun suoritetaan bittiä AND, OR ja XOR-operaatioita eBPF ALU32: lla. Hyökkääjä voi hyödyntää tätä virhettä lukemaan ja kirjoittamaan tietoja varatun puskurin rajojen ulkopuolella. XOR-toimintojen ongelma on ollut noin ytimen 5.7-rc1 jälkeen ja AND ja OR 5.10-rc1: n jälkeen.
- CVE-2021-3489: Haavoittuvuus johtuu rengaspuskurin toteutuksen virheestä ja liittyy siihen, että funktio bpf_ringbuf_reserve ei tarkistanut mahdollisuutta, että varatun muistialueen koko on pienempi kuin ringbuf-puskurin todellinen koko. Ongelma on ollut ilmeinen 5.8-rc1: n julkaisun jälkeen.
Lisäksi, voimme myös havaita toisen haavoittuvuuden Linux-ytimessä: CVE-2021-32606, joka sallii paikallisen käyttäjän nostaa käyttöoikeutensa juuritasolle. Ongelma ilmenee Linux-ytimen 5.11 jälkeen ja johtuu kilpailutilanteesta CAN ISOTP -protokollan toteuttamisessa, mikä mahdollistaa pistorasian sitomisparametrien muuttamisen, koska isotp_setsockopt () kun lippu on käsitelty CAN_ISOTP_SF_BROADCAST.
Kun pistorasia, ISOTP sitoutuu edelleen vastaanottimen liitäntään, joka voi jatkaa liittimeen liittyvien rakenteiden käyttöä sen jälkeen, kun siihen liittyvä muisti on vapautettu (käyttö jälkikäteen rakenteen kutsun vuoksi isotp_sock jo vapautettu, kun soitansotp_rcv(). Tietoja manipuloimalla voit ohittaa osoittimen funktiolle sk_error_report () ja suorita koodisi ytimen tasolla.
Jakeluiden haavoittuvuuksien korjausten tilaa voidaan seurata näillä sivuilla: Ubuntu, Debian, RHEL, Fedora, SUSE, Kaari).
Korjauksia on saatavana myös korjaustiedostoina (CVE-2021-3489 ja CVE-2021-3490). Ongelman hyödyntäminen riippuu eBPF-järjestelmän kutsun saatavuudesta käyttäjälle. Esimerkiksi RHEL: n oletusasetuksissa haavoittuvuuden hyödyntäminen edellyttää, että käyttäjällä on CAP_SYS_ADMIN-oikeudet.
Vihdoin jos haluat tietää enemmän siitä, voit tarkistaa yksityiskohdat Seuraavassa linkissä.