nemrég itt osztjuk meg a blogon a Microsoft iránti érdeklődésről szóló híreket az alrendszerről eGMP, Mivel a Windows számára létrehozott egy alrendszert, amely az absztrakt értelmezési statikus elemzési módszert használja, amely a Linux eBPF-ellenőrzőjéhez képest alacsonyabb hamis pozitív arányt mutat, támogatja a hurokelemzést és jó skálázhatóságot biztosít.
A módszer figyelembe veszi a meglévő eBPF programok elemzéséből nyert számos tipikus teljesítménymintát. Ez az eBPF alrendszer és a .3.18 verzió óta szerepel a Linux kernelben Lehetővé teszi a bejövő / kimenő hálózati csomagok feldolgozását, a csomagok továbbítását, a sávszélesség szabályozását, a rendszerhívások lehallgatását, a hozzáférés ellenőrzését és a felügyelet elvégzését.
És beszélünk-e erről, nemrégiben kiderült, hogy két új sebezhetőséget azonosítottak az alrendszerben eBPF, amely lehetővé teszi az illesztőprogramok futtatását a Linux kernelen belül egy speciális JIT virtuális gépben.
Mindkét biztonsági rés lehetőséget kínál a kód futtatására kerneljogokkal, az elszigetelt eBPF virtuális gépen kívül.
Információ a problémákról a Zero Day Initiative csapata jelentette meg, amely a Pwn2Own versenyt futja, amelynek során ebben az évben három olyan támadást mutattak be az Ubuntu Linux ellen, amelyekben korábban ismeretlen biztonsági réseket használtak (ha az eBPF biztonsági rései ezekhez a támadásokhoz kapcsolódnak, akkor nem jelentik).
Felfedezték, hogy az eBPF ALU32 korlátozza a követést bitenkénti műveleteknél (AND, OR és XOR) A 32 bites korlátokat nem frissítették.
Manfred Paul (@_manfp) a RedRocket CTF csapatából (@redrocket_ctf), aki vele dolgozikA Trend Micro Zero Day kezdeményezése felfedezte, hogy ez a biztonsági rés átalakítható határon kívüli olvasásra és írásra a kernelben. Ez volt jelentése ZDI-CAN-13590, és a CVE-2021-3490 jelölést kapta.
- CVE-2021-3490: A biztonsági rés annak a hiánya, hogy a 32 bites értékeket nem határon kívül ellenőrzik, amikor az eBPF ALU32-en bitenként, ÉS, VAGY és XOR-műveleteket hajtanak végre. A támadó kihasználhatja ezt a hibát az adatok olvasására és írására a lefoglalt puffer határain kívül. Az XOR műveletekkel kapcsolatos probléma az 5.7-rc1 kernel, valamint az AND és az OR 5.10-rc1 óta fennáll.
- CVE-2021-3489: a sérülékenységet a gyűrűpuffer megvalósításának hibája okozza, és összefügg azzal a ténnyel, hogy a bpf_ringbuf_reserve függvény nem ellenőrizte annak lehetőségét, hogy a lefoglalt memóriaterület mérete kisebb, mint a ringbuf puffer tényleges mérete. A probléma az 5.8-rc1 kiadása óta nyilvánvaló.
Ezen túlmenően, a Linux kernel egy másik sebezhetőségét is megfigyelhetjük: CVE-2021-32606, amely lehetővé teszi egy helyi felhasználó számára, hogy a gyökérszintre emelje a jogosultságait. A probléma az 5.11 Linux kernel óta nyilvánul meg, és a CAN ISOTP protokoll megvalósításában kialakult versenyhelyzet okozza, amely lehetővé teszi a socket kötési paraméterek megváltoztatását a megfelelő zárak konfigurációjának hiánya miatt az isotp_setsockopt () amikor a zászló feldolgozásra kerül CAN_ISOTP_SF_BROADCAST.
Egyszer a aljzat, ISOTP továbbra is kötődik a vevő foglalathoz, amely a kapcsolódó memória felszabadulása után is folytathatja a foglalathoz társított struktúrák használatát (a struktúrahívás miatt használat utáni használat nélkül) isotp_sock már elengedett, amikor felhívomsotp_rcv(). Az adatok manipulálásával felülírhatja a függvény mutatóját sk_error_report () és futtassa a kódot a rendszermag szintjén.
A terjesztések biztonsági réseinek javításainak állapota az alábbi oldalakon követhető: Ubuntu, Debian, RHEL, Fedora, SUSE, Bolthajtás).
A javítások javításokként is kaphatók (CVE-2021-3489 és CVE-2021-3490). A probléma kiaknázása attól függ, hogy elérhető-e a felhasználó számára az eBPF rendszerre irányuló hívás. Például az RHEL alapértelmezett konfigurációjában a biztonsági rés kihasználásához a felhasználónak CAP_SYS_ADMIN jogosultságokkal kell rendelkeznie.
Végül ha többet szeretnél megtudni róla, ellenőrizheti a részleteket A következő linken.