Neseniai žinia tai atskleidė buvo nustatyti du pažeidžiamumai „Linux“ branduolyje tai leisti naudoti posistemį „eBPF“ apeina apsaugą nuo „Spectre 4“ atakos (SSB, spekuliacinis parduotuvės aplinkkelis). Minėta, kad naudodamas neprivilegijuotą BPF programą, užpuolikas gali sukurti sąlygas spekuliaciniam tam tikrų operacijų vykdymui ir nustatyti savavališkų branduolio atminties sričių turinį.
„Spectre“ atakos metodas 4 remiasi procesoriaus talpykloje įstrigusių duomenų atkūrimu atmetus spekuliacinio operacijų atlikimo rezultatą, kai apdorojamos susietos skaitymo ir rašymo operacijos naudojant netiesioginį adresavimą.
Kai skaitymo operacija atliekama po rašymo operacijos, skaitymo krypties poslinkis jau gali būti žinomas dėl panašių operacijų (skaitymo operacijos atliekamos daug dažniau ir skaitymas gali būti atliktas iš talpyklos), o procesorius gali spėliotinai skaityti prieš rašydamas, nelaukdamas, kol bus apskaičiuotas netiesioginis rašymo krypties poslinkis.
Jei, apskaičiavus poslinkį, aptinkama rašymo ir skaitymo atminties sričių sankirta, procesorius tiesiog išmeta spėjamai gautą skaitymo rezultatą ir pakartoja šią operaciją. Ši funkcija leidžia skaitymo instrukcijai tam tikra kryptimi pasiekti ankstesnę vertę, kol išsaugojimo operacija dar laukia.
Atmetus nesėkmingą spekuliacinę prekybą, jo vykdymo pėdsakai lieka talpykloje, po to vieną iš talpyklos turinio nustatymo metodų galima naudoti norint jį atkurti remiantis talpyklos prieigos laiko ir talpykloje saugomų duomenų pokyčių analize.
Atminkite, kad kiekviena tema gali būti piktnaudžiaujama nepriklausomai nuo kitos, remiantis ja klaidose, kurios nesutampa.
PoC asmeniškai buvo bendrinami su BPF posistemio prižiūrėtojais padėti kurti susitarimus.
Pirmasis pažeidžiamumas CVE-2021-35477: tai sukelia BPF programos patvirtinimo mechanizmo trūkumas. Siekdamas apsisaugoti nuo „Spectre 4“ atakos, tikrintojas prideda papildomą nurodymą po galimai varginančių išsaugojimo operacijų atmintyje, išsaugodamas nulinę vertę ankstesnės operacijos pėdsakams kompensuoti.
Buvo daroma prielaida, kad nulinio rašymo operacija būtų labai greita ir blokuotų spekuliacinį vykdymą, nes tai priklauso tik nuo BPF kamino kadro žymeklio. Tačiau iš tikrųjų buvo įmanoma sukurti sąlygas, kuriomis instrukcija, vedanti į spekuliacinį vykdymą, turi laiko įvykdyti prieš prevencinę išsaugojimo operaciją.
Antrasis pažeidžiamumas CVE-2021-3455: yra susijęs su tuo, kad kai BPF tikrintuvas aptinka potencialiai pavojingas išsaugojimo operacijas atmintyje, nepaisomos neinicializuotos BPF kamino sritys, pirmoji rašymo operacija, kurios metu ji nėra apsaugota.
Ši funkcija suteikia galimybę atlikti spekuliacinę skaitymo operaciją, atsižvelgiant į neinicializuotą atminties sritį, prieš vykdant parduotuvės nurodymą. Nauja BPF kamino atmintis paskirstoma nepatikrinus turinio, kuris jau yra priskirtoje atmintyje, o prieš pradedant BPF programą, yra būdas valdyti atminties srities turinį, kuris vėliau bus priskirtas BPF kamino.
Turimas sprendimas iš naujo diegia švelninimo metodus, kad būtų galima tęsti rekomenduoja CPU pardavėjai ir yra pagrindinės linijos branduolyje git saugykla.
Galiausiai paminėta, kad branduolio eBPF posistemių prižiūrėtojai gavo prieigą prie eksploatacinio prototipo, kuris praktiškai parodo galimybę vykdyti atakas.
Problemos išspręstos pleistrų pavidalu, kurie bus įtraukti į kitą „Linux“ branduolio naujinį, todėl per ateinančias kelias dienas bus pradėti gauti įvairių distribucijų atnaujinimai.
Fuente: https://www.openwall.com/