Nesen mēs šeit, emuārā, dalāmies ar ziņām par Microsoft izrādīto interesi par apakšsistēmu eGMP, Tā kā tā ir izveidojusi Windows apakšsistēmu, kurā tiek izmantota abstraktas interpretācijas statiskās analīzes metode, kas, salīdzinot ar eBPF pārbaudītāju Linux, parāda zemāku viltus pozitīvo rādītāju, atbalsta cilpas analīzi un nodrošina labu mērogojamību.
Metode ņem vērā daudzus tipiskus veiktspējas modeļus, kas iegūti, analizējot esošās eBPF programmas. Šī eBPF apakšsistēma ir iekļauts Linux kodolā kopš versijas 3.18 un Tas ļauj apstrādāt ienākošās / izejošās tīkla paketes, pārsūtīt paketes, kontrolēt joslas platumu, pārtvert sistēmas zvanus, kontrolēt piekļuvi un veikt uzraudzību.
Un vai tas par to runā, nesen tika atklāts, ka ir identificētas divas jaunas ievainojamības apakšsistēmā eBPF, kas ļauj palaist draiverus Linux kodola iekšpusē īpašā JIT virtuālajā mašīnā.
Abas ievainojamības nodrošina iespēju palaist kodu ar kodola tiesībām, ārpus izolētās eBPF virtuālās mašīnas.
Informācija par problēmām publicēja Zero Day Initiative komanda, kas rīko Pwn2Own konkursu, kuras laikā šogad tika demonstrēti trīs uzbrukumi Ubuntu Linux, kuros tika izmantotas iepriekš nezināmas ievainojamības (ja eBPF ievainojamības ir saistītas ar šiem uzbrukumiem, par to netiek ziņots).
Tika atklāts, ka eBPF ALU32 ierobežo izsekošanu bitiem operācijām (AND, OR un XOR) 32 bitu ierobežojumi netika atjaunināti.
Manfreds Pols (@_manfp) no RedRocket CTF komandas (@redrocket_ctf), kurš strādā ar viņuTrend Micro Zero Day iniciatīva atklāja, ka šī ievainojamība to varēja pārveidot par ārpus kodola lasījumiem un rakstiem kodolā. Tā tas ir bijis ziņots kā ZDI-CAN-13590 un piešķirts CVE-2021-3490.
- CVE-2021-3490: Ievainojamība ir saistīta ar 32 bitu vērtību ārpus robežas verifikācijas trūkumu, veicot bitu AND, OR un XOR operācijas ar eBPF ALU32. Uzbrucējs var izmantot šo kļūdu, lai lasītu un rakstītu datus ārpus piešķirtā bufera robežām. Problēma ar XOR operācijām ir bijusi kopš kodola 5.7-rc1 un AND un OR kopš 5.10-rc1.
- CVE-2021-3489: ievainojamību izraisa kļūda zvana bufera ieviešanā, un tā ir saistīta ar faktu, ka funkcija bpf_ringbuf_reserve nepārbaudīja iespēju, vai piešķirtās atmiņas zonas lielums ir mazāks par ringbuf bufera faktisko lielumu. Problēma ir bijusi acīmredzama kopš 5.8-rc1 izlaišanas.
Turklāt, mēs varam novērot arī citu ievainojamību Linux kodolā: CVE-2021-32606, kas ļauj vietējam lietotājam paaugstināt savas privilēģijas līdz saknes līmenim. Problēma izpaužas kopš Linux kodola 5.11, un to izraisa sacensību apstākļi CAN ISOTP protokola ieviešanā, kas ļauj mainīt kontaktligzdas saistīšanas parametrus, jo nav pareizi konfigurētas isotp_setsockopt () kad karogs tiek apstrādāts CAN_ISOTP_SF_BROADCAST.
Kad ligzda, ISOTP turpina saistīties ar uztvērēja ligzdu, kas var turpināt izmantot ar ligzdu saistītās struktūras pēc tam, kad ir atbrīvota saistītā atmiņa (struktūras izsaukuma dēļ bez izmantošanas isotp_sock jau atlaists, kad zvanusotp_rcv(). Manipulējot ar datiem, jūs varat ignorēt funkcijas rādītāju sk_error_report () un palaidiet kodu kodola līmenī.
Sadalījumu ievainojamību labojumu statusu var izsekot šajās lapās: Ubuntu, Debian, RHEL, Fedora, SUSE, Arka).
Labojumi ir pieejami arī kā ielāpi (CVE-2021-3489 un CVE-2021-3490). Problēmas izmantošana ir atkarīga no eBPF sistēmas izsaukuma pieejamības lietotājam. Piemēram, RHEL noklusējuma iestatījumos ievainojamības izmantošana prasa, lai lietotājam būtu CAP_SYS_ADMIN privilēģijas.
Beidzot ja vēlaties uzzināt vairāk par to, jūs varat pārbaudīt informāciju Šajā saitē.