Pirms dažām dienām tika izlaistas ziņas, ka ievainojamība ir identificēta (jau kataloģizēts ar CVE-2022-0185) unn failu sistēmas konteksta API nodrošina linux kodols kas varētu ļaut vietējam lietotājam iegūt sistēmas root tiesības.
Tas ir minēts problēma ir tāda, ka nepievilcīgs lietotājs var iegūt šādas atļaujas izolētā konteinerā ja sistēmā ir iespējots lietotāju vārdu telpu atbalsts.
Piemēram, lietotāju nosaukumvietas ir iespējotas pēc noklusējuma Ubuntu un Fedora, bet nav iespējotas Debian un RHEL (ja vien netiek izmantotas konteineru izolācijas platformas). Papildus privilēģiju eskalācijai ievainojamību var izmantot arī, lai izkļūtu no izolēta konteinera, ja konteineram ir CAP_SYS_ADMIN pilnvaras.
Neaizsargātība pastāv funkcijā legacy_parse_param() VFS un tas ir saistīts ar to, ka failu sistēmās, kas neatbalsta failu sistēmas konteksta API, nav pienācīgi apstiprināts nodrošināto parametru maksimālais lielums.
Nesen vairāki draugi no manas CTF Crusaders of Rust komandas un es saskārāmies ar 0 dienu Linux kodola kaudzes pārplūdi. Mēs atradām kļūdu, izmantojot syzkaller, un ātri attīstījām to par Ubuntu LPE izmantošanu. Pēc tam mēs to pārrakstījām, lai aizbēgtu un sakņotu Google rūdīto Kubernetes CTF infrastruktūru. Šī kļūda ietekmē visas kodola versijas kopš 5.1 (pašlaik tiek veikta 5.16), un tai ir piešķirts CVE-2022-0185. Mēs jau esam par to ziņojuši Linux izplatīšanas un drošības adresātu sarakstam, un šī kļūda ir novērsta kopš šī raksta izlaišanas.
Pārāk liela parametra nodošana var izraisīt pārplūdi no vesela skaitļa mainīgā lieluma, ko izmanto, lai aprēķinātu ierakstāmo datu lielumu; kodam ir "if (len > PAGE_SIZE - 2 - size)" bufera pārpildes pārbaude, kas nedarbojas, ja lieluma vērtība ir lielāka par 4094 vesela skaitļa pārpildes dēļ caur apakšējo robežu (vesela skaitļa pārpilde, konvertējot 4096 – 2 – 4095 uz neparakstīto int, saņem 2147483648).
Šī kļūda ļauj, piekļūstot īpaši izstrādātam FS attēlam, izraisīt bufera pārpildīšanu un pārrakstīt kodola datus pēc piešķirtās atmiņas apgabala. Lai izmantotu ievainojamību, ir nepieciešamas CAP_SYS_ADMIN tiesības, ti, administratora tiesības.
No 2022. gada mūsu komandas biedri nolēma atrast 0. dienu 2022. gadā. Mēs nebijām īsti pārliecināti, kā tieši sākt, taču, tā kā mūsu komandai bija ļoti labas zināšanas par Linux kodola ievainojamībām, mēs nolēmām iegādāties dažus īpašus serverus. un palaist Google Syzkaller Fuzzer. 6. janvārī plkst. 22:30 PST chop0 saņēma šādu ziņojumu par KASAN kļūmi legacy_parse_param: slab-out-of-bounds Ierakstiet legacy_parse_param. Šķiet, ka syzbot šo problēmu atrada tikai 6 dienas agrāk, kad fuzzing Android, bet problēma netika atrisināta, un mēs naivi domājām, ka neviens cits to nepamanīja.
Visbeidzot, ir vērts pieminēt, ka problēma izpaužas kopš Linux kodola versijas 5.1 un tika atrisināta atjauninājumos, kas tika izlaisti pirms dažām dienām versijās 5.16.2, 5.15.16, 5.10.93, 5.4.173.
Bez tam ievainojamības pakotnes atjauninājumi jau ir izlaisti par RHEL, Debian, fedora un Ubuntu. Kamēr risinājums vēl nav pieejams Arch Linux, Gentoo, SUSE y openSUSE.
Šo gadījumā tiek minēts, ka kā drošības risinājums sistēmām, kas neizmanto konteinera izolāciju, varat iestatīt sysctl "user.max_user_namespaces" vērtību uz 0:
Pētnieks, kurš identificēja problēmu, ir publicējis ekspluatācijas demonstrācija que ļauj palaist kodu kā root Ubuntu 20.04 noklusējuma konfigurācijā. Plānots, ka izmantošanas kods tiek publicēts GitHub nedēļas laikā pēc tam ka izplatījumi izlaiž atjauninājumu, kas novērš ievainojamību.
Beidzot ja jūs interesē uzzināt vairāk par to, sīkāku informāciju varat pārbaudīt šī saite.
Vēl viens iemesls, lai nepieskartos snapam ar nūju.