Prije nekoliko dana objavljena je vijest koja pronađen je niz ranjivosti u swhkd (Simple Wayland HotKey Daemon) uzrokovan netočnim rukovanjem privremenim datotekama, opcijama naredbenog retka i unix utičnicama.
Program je napisan u Rustu i rukuje prečacima u okruženjima temeljenim na Wayland protokolu (analog sxhkd procesa kompatibilan s konfiguracijskim datotekama koji se koristi u okruženjima baziranim na X11). Paket uključuje neprivilegirani proces swhks koji izvodi radnje za prečice i swhkd pozadinski proces koji se izvodi kao root i komunicira s ulaznim uređajima na razini uinput API-ja. Za organiziranje interakcije između swhks i swhkd, koristi se Unix socket.
Polkitova pravila dopuštaju svakom lokalnom korisniku da pokrene proces /usr/bin/swhkd kao root i prosljeđuje mu proizvoljne parametre.
Integracija RPM paketa podnesen za openSUSE Tumbleweed je sadržavao neobična pravila Polkita u definicijsku datoteku koja je zahtijevala pregled od strane SUSE sigurnosnog tima.
Kao rezultat pregleda, utvrđeno je više sigurnosnih problema. Pojedinačni problemi opisani su u detaljnom izvješću u nastavku.
Od ranjivosti koje su identificirane, spominju se sljedeće:
CVE-2022-27815
Ova ranjivost omogućuje spremanje PID-a procesa u datoteku s predvidljivim imenom i u direktorij za pisanje za druge korisnike (/tmp/swhkd.pid), pri čemu svaki korisnik može kreirati /tmp/swhkd.pid datoteku i staviti pid postojećeg procesa u nju, što će onemogućiti pokretanje swhkd-a.
U nedostatku zaštite od stvaranja simboličkih veza u /tmp, ranjivost se može koristiti za stvaranje ili prepisivanje datoteka u bilo kojem direktoriju na sustavu (PID je upisan u datoteku) ili odredite sadržaj bilo koje datoteke na sustavu (swhkd ispisuje cijeli sadržaj PID datoteke u stdout). Treba napomenuti da u objavljenom popravku PID datoteka nije premještena u direktorij /run, već u direktorij /etc (/etc/swhkd/runtime/swhkd_{uid}.pid), gdje ni ona ne pripada .
CVE-2022-27814
Ova ranjivost omogućuje vam da manipulirate opcijom naredbenog retka "-c" za određivanje konfiguracijske datoteke može utvrditi postojanje bilo koje datoteke u sustavu.
Kao iu slučaju prve ranjivosti, rješavanje problema je zbunjujuće: rješavanje problema svodi se na činjenicu da je vanjski uslužni program "mačka" ('Command::new("/bin/cat").arg(path) sada pokrenut za čitanje konfiguracijske datoteke.output()').
CVE-2022-27819
Ovaj problem također se odnosi na korištenje opcije "-c"., koji učitava i analizira cijelu konfiguracijsku datoteku bez provjere veličine i vrste datoteke.
Na primjer, da biste izazvali uskraćivanje usluge zbog ponestajanja slobodne memorije i stvaranja zalutalih I/O, možete odrediti blok uređaj pri pokretanju ("pkexec /usr/bin/swhkd -d -c /dev/sda ») ili karakterni uređaj koji emitira beskonačan tok podataka.
Problem je riješen resetiranjem privilegija prije otvaranja datoteke, ali rješenje nije bilo dovršeno jer je samo korisnički ID (UID) resetiran, ali ID grupe (GID) ostaje isti.
CVE-2022-27818
Ova ranjivost omogućuje vam korištenje /tmp/swhkd.sock datoteke za stvaranje Unix utičnice, koji je kreiran u javnom upisnom direktoriju, uzrokujući slične probleme kao i prva ranjivost (svaki korisnik može stvoriti /tmp/swhkd.sock i generirati ili presresti događaje pritiska na tipku).
CVE-2022-27817
U ovoj ranjivosti, ulazni događaji primaju se sa svih uređaja iu svim sesijama, odnosno korisnik u drugoj sesiji Waylanda ili konzole može presresti događaje kada drugi korisnici pritisnu prečice.
CVE-2022-27816
Proces swhks, kao i swhkd, koristi PID datoteku /tmp/swhks.pid u javnom upisnom /tmp direktoriju. Problem je sličan prvoj ranjivosti, ali nije toliko opasan, budući da swhks radi pod neprivilegiranim korisnikom.
Napokon, ako vas zanima više o tome, možete se obratiti pojedinosti na sljedećem linku.