Muutama päivä sitten julkaistiin uutinen haavoittuvuuden tunnistamisesta (jo luetteloitu nimellä CVE-2022-0185) jan tiedostojärjestelmän kontekstin API tarjoaa linux-ydin jonka avulla paikallinen käyttäjä voi saada järjestelmän pääkäyttäjän oikeudet.
Mainitaan se Ongelmana on, että etuoikeutettu käyttäjä voi saada tällaiset käyttöoikeudet eristetyssä säilössä jos käyttäjänimiavaruuksien tuki on otettu käyttöön järjestelmässä.
Esimerkiksi käyttäjien nimiavaruudet ovat oletusarvoisesti käytössä Ubuntussa ja Fedorassa, mutta eivät ole käytössä Debianissa ja RHEL:ssä (ellei kontin eristysalustoja käytetä). Oikeuksien eskaloinnin lisäksi haavoittuvuutta voidaan käyttää myös eroamiseen eristetystä säilöstä, jos säiliöllä on CAP_SYS_ADMIN-oikeudet.
Haavoittuvuus on olemassa VFS:n funktiossa legacy_parse_param(). ja se johtuu toimitettujen parametrien enimmäiskoon asianmukaisen validoinnin puutteesta tiedostojärjestelmissä, jotka eivät tue tiedostojärjestelmän kontekstin API:ta.
Äskettäin useat ystäväni CTF Crusaders of Rust -tiimissäni ja minä kohtasimme 0-päiväisen Linux-ytimen kasan ylivuodon. Löysimme vian syzkallerin avulla ja kehitimme sen nopeasti Ubuntu LPE:n hyväksikäyttöön. Kirjoitimme sen sitten uudelleen pakoon ja juurruttamaan Googlen kovetetun Kubernetes CTF -infrastruktuurin. Tämä virhe vaikuttaa kaikkiin ytimen versioihin versiosta 5.1 lähtien (5.16 on parhaillaan käynnissä) ja sille on annettu CVE-2022-0185. Olemme jo ilmoittaneet tästä Linuxin jakelu- ja tietoturvapostituslistalle, ja virhe korjattiin tämän artikkelin julkaisun jälkeen.
Liian suuren parametrin välittäminen voi aiheuttaa ylivuodon kirjoitettavan tiedon koon laskemiseen käytetystä kokonaislukumuuttujasta; koodissa on "if (len > PAGE_SIZE - 2 - size)" puskurin ylivuototarkistus, joka ei toimi, jos koon arvo on suurempi kuin 4094 johtuen kokonaislukujen ylivuodosta alarajan läpi (kokonaisluvun ylivuoto, kun muuntaa 4096 – 2 – 4095 allekirjoittamattomalle int, saa 2147483648).
Tämä bugi mahdollistaa, kun käytät erityisesti muotoiltua FS-kuvaa, aiheuttaa puskurin ylivuodon ja ylikirjoittaa ytimen tiedot varatun muistialueen jälkeen. Haavoittuvuuden hyödyntäminen edellyttää CAP_SYS_ADMIN-oikeuksia eli järjestelmänvalvojan oikeuksia.
Vuodesta 2022 lähtien tiimitoverimme päättivät löytää päivän 0 vuodelle 2022. Emme olleet aivan varmoja siitä, miten aloittaa, mutta koska tiimimme tunsi Linux-ytimen haavoittuvuudet, päätimme ostaa vain omistettuja palvelimia. ja käytä Googlen syzkaller-fuzzeria. 6. tammikuuta kello 22 PST chop30 vastaanotti seuraavan raportin KASAN-virheestä parametrissa legacy_parse_param: slab-out-of-bounds Kirjoita legacy_parse_param. Näyttää siltä, että syzbot löysi tämän ongelman vasta 0 päivää aiemmin Androidia fussattaessa, mutta ongelmaa ei käsitelty ja luulimme naiivisti, ettei kukaan muu huomannut.
Lopuksi on syytä mainita, että ongelma on ilmennyt Linux-ytimen versiosta 5.1 lähtien ja se on ratkaistu muutama päivä sitten julkaistuilla päivityksillä versioissa 5.16.2, 5.15.16, 5.10.93, 5.4.173.
Sen lisäksi haavoittuvuuspakettien päivitykset on jo julkaistu ja RHEL, Debian, fedora ja Ubuntu. Vaikka ratkaisu ei ole vielä saatavilla Arch Linux, Gentoo, SUSE y openSUSE.
Näiden tapauksessa mainitaan, että turvaratkaisuna järjestelmille, jotka eivät käytä konttieristystä, voit asettaa sysctl:n "user.max_user_namespaces" arvoksi 0:
Ongelman tunnistanut tutkija on julkaissut hyväksikäytön demo que sallii koodin suorittamisen pääkäyttäjänä Ubuntu 20.04:ssä oletuskokoonpanossa. Sitä on suunniteltu hyväksikäyttökoodi julkaistaan GitHubissa viikon kuluessa että jakelut julkaisevat päivityksen, joka korjaa haavoittuvuuden.
Vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat seuraava linkki.
Taas yksi syy olla koskettamatta nappulaa kepillä.