Nesen par to atklājās ziņas atklāja jaunu ievainojamību (jau norādīts CVE-2021-4204) eBPF apakšsistēmā (pārmaiņas pēc) ...
Un tā ir tā, ka eBPF apakšsistēma nav pārstājusi būt liela kodola drošības problēma, jo 2021. gadā viegli tika atklātas divas ievainojamības mēnesī, un par dažām no tām mēs runājam šeit, emuārā.
Runājot par aktuālās problēmas detaļām, tiek minēts, ka atklātā ievainojamība ļauj draiverim darboties Linux kodolā īpašā JIT virtuālajā mašīnā un ka tas savukārt ļauj vietējam lietotājam, kam nav priviliģētu statusu, iegūt privilēģiju eskalāciju un izpildīt savu kodu kodola līmenī.
Problēmas aprakstā viņi to piemin ievainojamība ir saistīta ar nepareizu izpildei nosūtīto eBPF programmu skenēšanu, jo eBPF apakšsistēma nodrošina palīgfunkcijas, kuru pareizību pārbauda īpašs verificētājs.
Šī ievainojamība ļauj vietējiem uzbrucējiem palielināt privilēģijas
ietekmētās Linux kodola instalācijas. Uzbrucējam vispirms ir jāiegūst
spēja palaist zemu privilēģiju kodu mērķa sistēmā
izmantot šo ievainojamību.Īpašs trūkums pastāv eBPF programmu apstrādē. Jautājums rodas no lietotāja nodrošināto eBPF programmu pareizas validācijas trūkuma pirms to palaišanas.
Bez tam, dažām funkcijām ir nepieciešams, lai PTR_TO_MEM vērtība tiktu nodota kā arguments un pārbaudītājam ir jāzina ar argumentu saistītās atmiņas apjoms, lai izvairītos no iespējamām bufera pārpildes problēmām.
Kamēr par funkcijām bpf_ringbuf_submit un bpf_ringbuf_discard, dati par pārsūtītās atmiņas lielumu netiek ziņoti verificētājam (šeit sākas problēma), ko uzbrucējs izmanto, lai varētu pārrakstīt atmiņas apgabalus ārpus bufera ierobežojuma, izpildot īpaši izstrādātu eBPF kodu.
Uzbrucējs var izmantot šo ievainojamību, lai palielināt privilēģijas un izpildīt kodu kodola kontekstā. LŪDZU, ŅEMIET VĒRĀ, ka lielākajā daļā izplatījumu unprivileed bpf pēc noklusējuma ir atspējots.
Tiek minēts, ka, lai lietotājs varētu veikt uzbrukumu, lietotājam ir jāspēj ielādēt savu BPF programmu, un daudzi jaunākie Linux izplatījumi to bloķē pēc noklusējuma (tostarp priviliģēta piekļuve eBPF tagad ir aizliegta pēc noklusējuma pašā kodolā, sākot ar versiju 5.16).
Piemēram, tiek minēts, ka ievainojamība var izmantot noklusējuma konfigurācijā izplatīšana, kas joprojām ir diezgan izmantota un galvenokārt ļoti populāra Ubuntu 20.04 LTS, bet tādās vidēs kā Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 un Fedora 33 tas izpaužas tikai tad, ja administrators ir iestatījis parametru kernel.unprivileged_bpf_disabled uz 0.
Pašlaik kā risinājums ievainojamības bloķēšanai tiek minēts, ka nepievilcīgiem lietotājiem var neļaut palaist BPF programmas, terminālī izpildot komandu:
sysctl -w kernel.unprivileged_bpf_disabled=1
Visbeidzot, tas ir jāpiemin problēma ir parādījusies kopš Linux kodola 5.8 un joprojām nav labota (ieskaitot versiju 5.16), un tāpēc izmantošanas kods tiks aizkavēts par 7 dienām Un tas tiks publicēts plkst. 12:00 UTC, tas ir, 18. gada 2022. janvārī.
Ar to Tas ir paredzēts, lai būtu pietiekami daudz laika, lai koriģējošie ielāpi būtu pieejami dažādu Linux izplatījumu lietotāji katra no tiem oficiālajos kanālos, un gan izstrādātāji, gan lietotāji var labot minēto ievainojamību.
Tiem, kuri vēlas uzzināt par atjauninājumu izveides statusu, novēršot problēmu dažos galvenajos izplatījumos, viņiem jāzina, ka tos var izsekot no šīm lapām: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch.
Ja Jums ir interesē uzzināt vairāk par to par piezīmi varat skatīt sākotnējo paziņojumu Šajā saitē.