nedavno ovdje na blogu dijelimo vijesti o interesu koji je Microsoft pokazao o podsustavu eGMP, Budući da je izgradio podsustav za Windows koji koristi metodu statičke analize apstraktne interpretacije, koja u usporedbi s eBPF provjerom za Linux pokazuje nižu stopu lažnih pozitivnih rezultata, podržava analizu petlje i pruža dobru skalabilnost.
Metoda uzima u obzir mnoge tipične obrasce izvedbe dobivene analizom postojećih eBPF programa. Ovaj eBPF podsustav je uključen u Linux kernel od verzije 3.18 i Omogućuje vam obradu dolaznih / odlaznih mrežnih paketa, prosljeđivanje paketa, kontrolu propusnosti, presretanje sistemskih poziva, kontrolu pristupa i nadzor.
I govori li to o tome, nedavno je otkriveno da identificirane su dvije nove ranjivosti u podsustavu eBPF, koji vam omogućuje pokretanje upravljačkih programa unutar jezgre Linuxa u posebnom JIT virtualnom stroju.
Obje ranjivosti pružaju mogućnost pokretanja koda s pravima na jezgru, izvan izoliranog virtualnog stroja eBPF.
Informacija o problemima objavio je tim inicijative Zero Day, koja provodi natjecanje Pwn2Own, tijekom kojeg su ove godine prikazana tri napada na Ubuntu Linux, u kojima su korištene ranije nepoznate ranjivosti (ako su ranjivosti u eBPF-u povezane s tim napadima, to se ne izvještava).
Otkriveno je da eBPF ALU32 ograničava praćenje za bitne operacije (AND, OR i XOR) 32-bitna ograničenja nisu ažurirana.
Manfred Paul (@_manfp) iz RedRocket CTF tima (@redrocket_ctf) koji radi s njimInicijativa Zero Day tvrtke Trend Micro otkrila je da je ta ranjivost može se pretvoriti u čitanje i pisanje u jezgru izvan granica. Ovo je bilo prijavljen kao ZDI-CAN-13590 i dodijeljen CVE-2021-3490.
- CVE-2021-3490: Ranjivost je posljedica nedostatka izvangranične provjere za 32-bitne vrijednosti pri izvođenju bitnih operacija AND, OR i XOR na eBPF ALU32. Napadač može iskoristiti ovu programsku pogrešku za čitanje i pisanje podataka izvan granica dodijeljenog međuspremnika. Problem s XOR operacijama postoji od jezgre 5.7-rc1, a AND i OR od 5.10-rc1.
- CVE-2021-3489: Ranjivost je uzrokovana bugom u implementaciji međuspremnika prstena i povezana je s činjenicom da funkcija bpf_ringbuf_reserve nije provjerila mogućnost da je veličina dodijeljenog područja memorije manja od stvarne veličine međuspremnika zvona. Problem je očit od izdavanja 5.8-rc1.
Osim toga, također možemo uočiti još jednu ranjivost u Linux jezgri: CVE-2021-32606, koji omogućuje lokalnom korisniku da podigne svoje privilegije na korijensku razinu. Problem se očituje od Linux kernela 5.11 i uzrokovan je rasnim uvjetima u implementaciji CAN ISOTP protokola, što omogućava promjenu parametara vezivanja utičnice zbog nedostatka konfiguracije ispravnih brava u isotp_setsockopt () kad se zastava obradi CAN_ISOTP_SF_BROADCAST.
Jednom utičnica, ISOTP nastavlja se vezivati za utičnicu prijemnika, koja može nastaviti koristiti strukture pridružene utičnici nakon što se oslobodi povezana memorija (bez upotrebe zbog poziva strukture isotp_čarapa već pušteno kad nazovemsotp_rcv(). Manipuliranjem podacima možete poništiti pokazivač na funkciju sk_error_report () i pokrenite svoj kôd na razini jezgre.
Status ispravka ranjivosti u distribucijama može se pratiti na ovim stranicama: Ubuntu, Debian, RHEL, Fedora, SUSE, Svod).
Ispravci su dostupni i kao zakrpe (CVE-2021-3489 i CVE-2021-3490). Iskorištavanje problema ovisi o dostupnosti poziva sustavu eBPF za korisnika. Na primjer, u zadanim postavkama na RHEL-u, iskorištavanje ranjivosti zahtijeva da korisnik ima privilegije CAP_SYS_ADMIN.
Konačno ako želite znati više o tome, možete provjeriti detalje U sljedećem linku.