Nedavno su to objavile vijesti identificirao novu ranjivost (već naveden pod CVE-2021-4204) u eBPF podsustavu (za promjenu) ...
A to je da eBPF podsustav nije prestao predstavljati veliki sigurnosni problem za Kernel jer su se u cijeloj 2021. godini lako otkrivale dvije ranjivosti mjesečno o kojima govorimo ovdje na blogu.
Što se tiče detalja aktualnog problema, spominje se da otkrivena ranjivost omogućuje pokretanju upravljačkog programa unutar Linux kernela u posebnom JIT virtualnom stroju i da to zauzvrat omogućuje neprivilegiranom lokalnom korisniku da dobije eskalaciju privilegija i izvrši svoj kod na razini kernela.
U opisu problema to spominju ranjivost je posljedica netočnog skeniranja eBPF programa koji se prenose na izvršenje, budući da podsustav eBPF pruža pomoćne funkcije, čiju ispravnost provjerava poseban verifikator.
Ova ranjivost omogućuje lokalnim napadačima da povećaju privilegije
utjecao na instalacije Linux kernela. Napadač prvo mora dobiti
mogućnost pokretanja koda s niskim privilegijama na ciljnom sustavu za
iskoristiti ovu ranjivost.Specifičan nedostatak postoji u rukovanju eBPF programima. Pitanje rezultat je nedostatka odgovarajuće validacije eBPF programa koje je dao korisnik prije nego ih pokrenete.
Osim toga, neke od funkcija zahtijevaju da vrijednost PTR_TO_MEM bude proslijeđena kao argument a verifikator mora znati veličinu memorije povezane s argumentom kako bi izbjegao potencijalne probleme s preljevom međuspremnika.
Dok za funkcije bpf_ringbuf_submit i bpf_ringbuf_discard, podaci o veličini prenesene memorije ne prijavljuju se verifikatoru (ovdje počinje problem), što napadač iskorištava da bi mogao upotrijebiti za prepisivanje memorijskih područja izvan granice međuspremnika prilikom izvršavanja posebno izrađenog eBPF koda.
Napadač može iskoristiti ovu ranjivost za eskalirati privilegije i izvršiti kod u kontekstu kernela. NAPOMENA da je neprivilegirani bpf onemogućen prema zadanim postavkama u većini distribucija.
Spominje se da bi korisnik izvršio napad, korisnik mora biti u mogućnosti učitati svoj BPF program i mnoge novije Linux distribucije ga blokiraju prema zadanim postavkama (uključujući neprivilegirani pristup eBPF-u sada je prema zadanim postavkama zabranjen u samoj kernelu, od verzije 5.16).
Na primjer, spominje se da je ranjivost može se iskoristiti u zadanoj konfiguraciji u distribucija koja je još uvijek dosta korištena i prije svega vrlo popularna kakva jest Ubuntu 20.04 LTS, ali u okruženjima kao što su Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 i Fedora 33, manifestira se samo ako je administrator postavio parametar kernel.unprivileged_bpf_disabled na 0.
Trenutno, kao zaobilazno rješenje za blokiranje ranjivosti, spominje se da se neprivilegiranim korisnicima može spriječiti pokretanje BPF programa pokretanjem naredbe u terminalu:
sysctl -w kernel.unprivileged_bpf_disabled=1
Na kraju treba spomenuti da problem se pojavio od Linux kernela 5.8 i ostao je nepokrpan (uključujući verziju 5.16) i zato exploit kod će biti odgođen 7 dana A bit će objavljen u 12:00 UTC, odnosno 18. siječnja 2022.
S tim Namjera mu je omogućiti dovoljno vremena za stavljanje na raspolaganje korektivnih zakrpa korisnika različitih distribucija Linuxa unutar službenih kanala svakog od njih i programeri i korisnici mogu ispraviti spomenutu ranjivost.
Za one koji su zainteresirani da mogu znati o statusu formiranja ažuriranja s otklanjanjem problema u nekoj od glavnih distribucija, trebali bi znati da im se može ući u trag sa ovih stranica: Debian, RHEL, SUSE, Fedora, Ubuntu, Arh.
Naps zainteresiran za saznanje više o tome o bilješci, možete pogledati izvornu izjavu U sljedećem linku.