Neseniai tai pasklido žinia nustatė naują pažeidžiamumą (jau įtraukta į CVE-2021-4204) eBPF posistemyje (pokyčiams) ...
Ir tai yra tai, kad eBPF posistemis nenustojo būti didelė branduolio saugumo problema, nes per visus 2021 m. per mėnesį buvo atskleistos dvi spragos, apie kurias mes kalbame čia, tinklaraštyje.
Kalbant apie dabartinės problemos detales, minima, kad aptiktas pažeidžiamumas leidžia tvarkyklei veikti Linux branduolyje specialioje JIT virtualioje mašinoje ir tai savo ruožtu leidžia vietiniam neprivilegijuotam vartotojui gauti privilegijų eskalavimą ir vykdyti savo kodą branduolio lygiu.
Problemos aprašyme jie tai mini pažeidžiamumas atsirado dėl netinkamo vykdyti eBPF programų nuskaitymo, nes eBPF posistemis teikia pagalbines funkcijas, kurių teisingumą patikrina specialus tikrintojas.
Šis pažeidžiamumas leidžia vietiniams užpuolikams padidinti privilegijas
paveiktų Linux branduolio įrenginių. Užpuolikas pirmiausia turi gauti
galimybė paleisti žemų privilegijų kodą tikslinėje sistemoje
išnaudoti šį pažeidžiamumą.Konkretus trūkumas yra tvarkant eBPF programas. Klausimas atsiranda dėl to, kad nėra tinkamo vartotojo pateiktų eBPF programų patvirtinimo prieš juos paleisdami.
Neskaitant to, kai kurioms funkcijoms reikia, kad PTR_TO_MEM reikšmė būtų perduodama kaip argumentas ir tikrintojas turi žinoti su argumentu susietos atminties dydį, kad išvengtų galimų buferio perpildymo problemų.
Nors dėl funkcijų bpf_ringbuf_submit ir bpf_ringbuf_discard, duomenys apie perkeltos atminties dydį nepranešami tikrintojui (čia ir prasideda problema), kuria užpuolikas pasinaudoja, kad galėtų perrašyti atminties sritis, esančias už buferio ribos, vykdydamas specialiai sukurtą eBPF kodą.
Užpuolikas gali išnaudoti šį pažeidžiamumą padidinti privilegijas ir vykdyti kodą branduolio kontekste. ATKREIPKITE DĖMESĮ, kad neprivilegijuotas bpf pagal numatytuosius nustatymus yra išjungtas daugelyje platinimų.
Paminėta, kad tam, kad vartotojas galėtų įvykdyti ataką, vartotojas turi turėti galimybę įkelti savo BPF programą ir daugelis naujausių Linux platinimų ją blokuoja pagal numatytuosius nustatymus (įskaitant neprivilegijuotą prieigą prie eBPF dabar pagal nutylėjimą draudžiama pačiame branduolyje nuo 5.16 versijos).
Pavyzdžiui, minima, kad pažeidžiamumas gali būti naudojamas pagal numatytąją konfigūraciją platinimas, kuris vis dar gana naudojamas ir, svarbiausia, labai populiarus „Ubuntu 20.04 LTS“, bet tokiose aplinkose kaip Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 ir Fedora 33, tai rodoma tik tada, jei administratorius nustatė parametrą kernel.unprivileged_bpf_disabled į 0.
Šiuo metu, kaip išeitis blokuojant pažeidžiamumą, minima, kad neprivilegijuotiems vartotojams galima neleisti paleisti BPF programų terminale paleidus komandą:
sysctl -w kernel.unprivileged_bpf_disabled=1
Galiausiai reikėtų paminėti tai problema atsirado nuo 5.8 Linux branduolio ir lieka nepataisyta (įskaitant 5.16 versiją) ir štai kodėl išnaudojimo kodas bus atidėtas 7 dienas Ir jis bus paskelbtas 12:00 UTC, tai yra, 18 m. sausio 2022 d.
Su tuo Taip siekiama suteikti pakankamai laiko korekciniams pleistrams pateikti skirtingų Linux platinimų naudotojų oficialiuose kiekvieno iš jų kanaluose ir kūrėjai bei vartotojai gali ištaisyti minėtą pažeidžiamumą.
Tiems, kurie nori sužinoti apie naujinimų formavimo būseną pašalinus problemą kai kuriuose pagrindiniuose platinimuose, jie turėtų žinoti, kad juos galima atsekti iš šių puslapių: debian, RHEL, SUSA, Minkšta fetrinė skrybėlė, ubuntu, Arch.
Kakleliai domina sužinoti daugiau apie tai apie pastabą galite peržiūrėti pradinį pareiškimą Šioje nuorodoje.