Ha kihasználják, ezek a hibák lehetővé tehetik a támadók számára, hogy jogosulatlanul hozzáférjenek érzékeny információkhoz, vagy általában problémákat okozhatnak.
Néhány nappal ezelőtt ezt a hír hozta fel Két sebezhetőséget észleltek benne alrendszerei a Linux kernel, Netfilter és io_uring, amelyek lehetővé teszik a helyi felhasználók számára, hogy növeljék jogosultságaikat a rendszeren.
Az első a sebezhetőség. (CVE-2023-32233), amelyet a Netfilter alrendszerben észleltek és az nf_tables modulban az nftables csomagszűrő működését biztosító, a használat utáni szabad memória hozzáférés okozza.
Ez a hiba azért van, mert a netfilter nf_tables lehetővé teszi a konfiguráció frissítését a csoportosított kötegelt kérésekhez több alapművelet atomi tranzakciókban.
A probléma A Linux kernel különböző verzióiban reprodukálták, beleértve a Linux 6.3.1-et is (jelenlegi stabil), és a sérülékenység kihasználható speciálisan kialakított kérések küldésével az nftables konfigurációjának frissítésére. Megemlítik, hogy a támadáshoz hozzá kell férni az nftables-hoz, amely külön hálózati névtérben érhető el, ha rendelkezik CLONE_NEWUSER, CLONE_NEWNS vagy CLONE_NEWNET jogokkal (például, ha tud egy elszigetelt tárolót futtatni).
Ezzel a hibával kapcsolatban a problémát azonosító kutató megígérte, hogy egy héttel elhalasztja a részletes információk és a gyökérhéjat biztosító működő exploit példájának közzétételét.
Egy adott forgatókönyvben egy érvénytelen kötegelt kérés tartalmazhat egy olyan műveletet, amely implicit módon törli egy létező névtelen nft készletet, majd egy másik művelet követi, amely megpróbálja végrehajtani ugyanazt a névtelen nft készletet a törlés után. A fenti forgatókönyvben a fenti műveletre példa egy létező nft-szabály törlése, amely névtelen nft-készletet használ. Az utóbbi műveletre példa egy elem eltávolítása az nft névtelen tömbből, miután a tömb váltakozva eltávolításra került, az utóbbi művelet pedig akár ismét megpróbálhatja explicit módon eltávolítani az nft névtelen tömböt.
Ahogy az elején már említettük, ez néhány napja történt, és a kizsákmányolást és az információkat már nyilvánosságra hozták. Az exploit, valamint annak részletei az alábbi linken találhatók.
A második hiba észlelve, volt a sebezhetőség (CVE-2023-2598) in az aszinkron I/O interfész megvalósítása io_uring az 5.1-es verzió óta benne van a Linux kernelben.
A problémát az io_sqe_buffer_register függvény hibája okozza, amely lehetővé teszi a fizikai memóriához való hozzáférést a statikusan lefoglalt puffer határain kívül. A probléma csak a 6.3-as ágban jelenik meg, és a következő 6.3.2-es frissítéssel kijavítják.
Megemlítik, hogy az eredeti véglegesítés mögött az az elképzelés áll, hogy ahelyett, hogy a pufferolt nagy oldalakat különálló bvec bejegyzésekre osztaná fel, egyetlen bvec bejegyzés állhat rendelkezésre az oldal összes pufferelt részéhez. Pontosabban, ha a pufferleképezés összes oldala az első oldalszerkezetet és a pufferhosszt használja egyetlen bvec bejegyzésben ahelyett, hogy minden oldalt külön-külön leképezne.
Tehát a bvec jóval túlmutat azon az egyetlen oldalon, amelyet ténylegesen megérinthet. Később az IORING_OP_READ_FIXED és IORING_OP_WRITE_FIXED lehetővé teszi, hogy tetszés szerint olvassunk és írjunk a pufferbe (azaz a bvec által mutatott memóriába). Ez lehetővé teszi az olvasási/írási hozzáférést a ténylegesen rendelkezésre álló egyetlen oldal mögötti fizikai memóriához.
A sebezhetőségről szóló kiadvány megemlíti a hibareprodukciós lépéseket:
1. Hozzon létre egy memfd-t
2. Hiba a fájlleíró egyetlen oldalon
3. A MAP_FIXED segítségével ismételten leképezheti ezt az oldalt egymás után következő helyekre
4. Regisztrálja az oldallal feltöltött teljes régiót néven
egy rögzített puffer IORING_REGISTER_BUFFERS-szel
5. Az IORING_OP_WRITE_FIXED segítségével írja be a puffert egy másik fájlba
(OOB read) vagy IORING_OP_READ_FIXED a pufferben lévő adatok olvasásához (
OOB írás).
Végül érdemes megemlíteni már elérhető működő exploit prototípus (CVE-2023-2598) teszteléshez, lehetővé téve a kód futtatását kerneljogokkal.
Sebezhetőség (CVE-2023-32233) A 6.4-rc frissítésben javítva lett, és a sérülékenység javítását a következő oldalakon követheti a disztribúciókban: Debian, Ubuntu, Gentoo, RHEL, Fedora, SUSE/openSUSE y Bolthajtás.