हाल ही में खबर है कि तोड़ दिया दो कमजोरियों की पहचान की गई लिनक्स कर्नेल में कि उपयोग करने की अनुमति दें सबसिस्टम eBPF स्पेक्टर 4 हमले से सुरक्षा को बायपास करेगा (एसएसबी, सट्टा स्टोर बाईपास)। यह उल्लेख किया गया है कि एक गैर-विशेषाधिकार प्राप्त बीपीएफ कार्यक्रम का उपयोग करके, एक हमलावर कुछ कार्यों के सट्टा निष्पादन के लिए स्थितियां बना सकता है और कर्नेल मेमोरी के मनमाने क्षेत्रों की सामग्री का निर्धारण कर सकता है।
स्पेक्टर हमले की विधि 4 प्रोसेसर कैश में फंसे डेटा को पुनर्स्थापित करने पर निर्भर करता है अप्रत्यक्ष पते का उपयोग करके इंटरलीव्ड रीड एंड राइट ऑपरेशंस को संसाधित करते समय संचालन के सट्टा निष्पादन के परिणाम को त्यागने के बाद।
जब एक रीड ऑपरेशन एक राइट ऑपरेशन का अनुसरण करता है, इसी तरह के संचालन के कारण पढ़ने की दिशा का ऑफसेट पहले से ही जाना जा सकता है (पढ़ने के संचालन अधिक बार किए जाते हैं और कैश से रीडिंग की जा सकती है) और प्रोसेसर अप्रत्यक्ष लेखन दिशा ऑफसेट की गणना की प्रतीक्षा किए बिना, लिखने से पहले सट्टा पढ़ सकता है।
यदि, ऑफसेट की गणना करने के बाद, लिखने और पढ़ने के लिए स्मृति क्षेत्रों का एक प्रतिच्छेदन पाया जाता है, तो प्रोसेसर केवल पहले से प्राप्त पठन परिणाम को अनुमानित रूप से त्याग देगा और इस ऑपरेशन को दोहराएगा। यह फ़ंक्शन रीड इंस्ट्रक्शन को पिछले मान को किसी दिशा में एक्सेस करने की अनुमति देता है जबकि सेव ऑपरेशन अभी भी लंबित है।
एक असफल सट्टा व्यापार को खारिज करने के बाद, इसके निष्पादन के निशान कैश में रहते हैं, जिसके बाद कैश की सामग्री को निर्धारित करने के तरीकों में से एक इसे पुनः प्राप्त करने के लिए इस्तेमाल किया जा सकता है कैश एक्सेस समय और कैश्ड डेटा में परिवर्तन के विश्लेषण के आधार पर।
ध्यान दें कि प्रत्येक विषय का दूसरे से स्वतंत्र रूप से दुरुपयोग किया जा सकता है, इस पर निर्भर करता है उन त्रुटियों में जो ओवरलैप नहीं होती हैं।
PoCs को निजी तौर पर BPF सबसिस्टम के अनुरक्षकों के साथ साझा किया गया है ताकि व्यवस्था के विकास में मदद करें।
पहली भेद्यता CVE-2021-35477: यह BPF प्रोग्राम के सत्यापन तंत्र में एक दोष के कारण होता है. स्पेक्टर 4 हमले से बचाव के लिए, चेकर मेमोरी में संभावित परेशानी सेव ऑपरेशन के बाद एक अतिरिक्त निर्देश जोड़ता है, पिछले ऑपरेशन के निशान को ऑफसेट करने के लिए एक शून्य मान संग्रहीत करता है।
यह माना गया था कि शून्य लेखन ऑपरेशन बहुत तेज़ होगा और सट्टा निष्पादन को अवरुद्ध करेगा क्योंकि यह केवल बीपीएफ स्टैक फ्रेम पॉइंटर पर निर्भर करता है। लेकिन, वास्तव में, ऐसी स्थितियां बनाना संभव था जिसमें सट्टा निष्पादन की ओर ले जाने वाले निर्देश को निवारक बचत ऑपरेशन से पहले निष्पादित करने का समय हो।
दूसरी भेद्यता CVE-2021-3455: इस तथ्य से संबंधित है कि जब BPF चेकर मेमोरी में संभावित खतरनाक सेव ऑपरेशन का पता लगाता है, बीपीएफ स्टैक के गैर-आरंभिक क्षेत्र, पहला लेखन ऑपरेशन जिसमें यह संरक्षित नहीं है, को नजरअंदाज कर दिया जाता है।
यह सुविधा स्टोर निर्देश को निष्पादित करने से पहले, अप्रारंभीकृत स्मृति क्षेत्र के आधार पर, एक सट्टा पढ़ने के संचालन की संभावना की ओर ले जाती है। बीपीएफ स्टैक के लिए नई मेमोरी आवंटित स्मृति में पहले से मौजूद सामग्री की जांच किए बिना आवंटित की जाती है, और बीपीएफ कार्यक्रम शुरू होने से पहले चरण में, स्मृति क्षेत्र की सामग्री को प्रबंधित करने का एक तरीका है, जिसे बाद में आवंटित किया जाएगा बीपीएफ स्टैक।
उपलब्ध समाधान जारी रखने के लिए शमन तकनीकों को फिर से लागू करता है CPU विक्रेताओं द्वारा अनुशंसित और मेनलाइन कर्नेल में उपलब्ध है गिट भंडार।
अंत में, यह उल्लेख किया गया है कि कर्नेल में eBPF सबसिस्टम के अनुरक्षकों ने एक शोषण प्रोटोटाइप तक पहुंच प्राप्त की जो व्यवहार में हमलों को अंजाम देने की संभावना को प्रदर्शित करता है।
समस्याओं को पैच के रूप में ठीक किया गया है, जिसे अगले लिनक्स कर्नेल अपडेट में शामिल किया जाएगा, इसलिए अगले कुछ दिनों के दौरान विभिन्न वितरणों के अपडेट आने शुरू हो जाएंगे।
Fuente: https://www.openwall.com/