אם מנוצלים, פגמים אלה יכולים לאפשר לתוקפים לקבל גישה לא מורשית למידע רגיש או לגרום לבעיות בדרך כלל
החדשות התפרסמו לאחרונהזוהו שתי נקודות תורפה בליבת לינוקס (כבר מקוטלג תחת CVE-2022-42896), אשר עשוי יכול לשמש לתזמור ביצוע קוד מרחוק ברמת הליבה על ידי שליחת חבילת L2CAP בעלת מבנה מיוחד באמצעות Bluetooth.
מוזכר ש הפגיעות הראשונה (CVE-2022-42896) מתרחשת בעת גישה לאזור זיכרון משוחרר (use-after-free) ביישום הפונקציות l2cap_connect ו-l2cap_le_connect_req.
כישלון ממונף לאחר יצירת ערוץ באמצעות התקשרות חוזרת שִׂיחָה חיבור_חדש, שאינו חוסם את ההגדרה עבורו, אבל כן מגדיר טיימר (__set_chan_timer), לאחר פסק זמן, קריאת הפונקציה l2cap_chan_timeout וניקוי התעלה מבלי לבדוק את סיום העבודה עם הערוץ בפונקציות l2cap_le_connect*.
פסק הזמן המוגדר כברירת מחדל הוא 40 שניות וההנחה הייתה שמצב מירוץ לא יכול להתרחש באיחור גדול כל כך, אך התברר כי עקב באג נוסף בדריבר ה-SMP, ניתן היה להתקשר מיידית לטיימר ולהגיע למצב המירוץ.
בעיה ב-l2cap_le_connect_req יכולה לגרום לדליפת זיכרון ליבה, וב-l2cap_connect אתה יכול להחליף את תוכן הזיכרון ולהפעיל את הקוד שלך. הגרסה הראשונה של המתקפה יכולה להתבצע באמצעות Bluetooth LE 4.0 (מאז 2009), השנייה באמצעות Bluetooth BR/EDR 5.2 (מאז 2020).
ישנן פגיעויות לאחר שחרור בפונקציות ליבת לינוקס l2cap_connect ו-l2cap_le_connect_req net/bluetooth/l2cap_core.c שעשויות לאפשר ביצוע קוד ודליפת זיכרון ליבה (בהתאמה) מרחוק באמצעות Bluetooth. תוקף מרוחק יכול להפעיל קוד שמדליף זיכרון ליבה דרך Bluetooth אם הוא נמצא בקרבת הקורבן. אנו ממליצים לעדכן את ה-commit העבר https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4
הפגיעות השנייה זוהה (כבר מקוטלג תחת CVE-2022-42895) הוא נגרמת על ידי דליפת זיכרון שיורית בפונקציה l2cap_parse_conf_req, אשר ניתן להשתמש בו כדי לקבל מרחוק מידע על מצביעים למבני ליבה על ידי שליחת בקשות תצורה בעלות מבנה מיוחד.
על פגיעות זו מוזכר כי בפונקציה l2cap_parse_conf_req, נעשה שימוש במבנה l2cap_conf_efs, שעבורו הזיכרון שהוקצה לא אותחל קודם לכן, ובאמצעות מניפולציות עם הדגל FLAG_EFS_ENABLE, ניתן היה להשיג הכללת נתונים ישנים של הסוללה באריזה.
דגל הערוץ FLAG_EFS_ENABLE במקום המשתנה remote_efs to להחליט אם יש להשתמש במבנה efs l2cap_conf_efs או לא ו אפשר להגדיר את הדגל FLAG_EFS_ENABLE מבלי לשלוח בפועל נתוני תצורה של EFS ובמקרה זה, מבנה efs l2cap_conf_efs לא מאותחל יישלח בחזרה ללקוח המרוחק, ובכך ידליף מידע על תוכן זיכרון הליבה, כולל מצביעי הליבה.
הבעיה מתרחשת רק במערכות שבהן הקרנל הוא בנוי עם אפשרות CONFIG_BT_HS (מושבת כברירת מחדל, אך מופעלת בהפצות מסוימות, כמו אובונטו). התקפה מוצלחת מחייבת גם להגדיר את הפרמטר HCI_HS_ENABLED דרך ממשק הניהול כ-true (הוא אינו בשימוש כברירת מחדל).
על שני באגים שהתגלו אלה, אבות הטיפוס של ניצול הפועלים על אובונטו 22.04 כבר שוחררו כדי להדגים את האפשרות של התקפה מרחוק.
כדי לבצע את המתקפה, התוקף חייב להיות בטווח Bluetooth; אין צורך בהתאמה מוקדמת, אך Bluetooth חייב להיות פעיל במחשב. להתקפה, מספיק לדעת את כתובת ה-MAC של המכשיר של הקורבן, אותה ניתן לקבוע על ידי רחרוח או, במכשירים מסוימים, לחשב על סמך כתובת ה-MAC של ה-Wi-Fi.
לבסוף ראוי להזכיר זאת זוהתה בעיה דומה נוספת (CVE-2022-42895) בבקר L2CAP מה שיכול לדלוף תוכן זיכרון ליבה בחבילות מידע על תצורה. הפגיעות הראשונה באה לידי ביטוי מאז אוגוסט 2014 (קרנל 3.16), והשנייה מאז אוקטובר 2011 (קרנל 3.0).
למעוניינים לעקוב אחר התיקון בהפצות, ניתן לעשות זאת בעמודים הבאים: דביאן, אובונטו, ג'נטו, רהל, SUSE, פדורה y קשת .