Onlangs brak het nieuws dat een nieuwe kwetsbaarheid geïdentificeerd (reeds vermeld onder CVE-2021-4204) in het eBPF-subsysteem (voor de verandering) ...
En het is dat het eBPF-subsysteem niet ophoudt een groot beveiligingsprobleem voor de Kernel te zijn, omdat gemakkelijk in wat 2021 was, twee kwetsbaarheden per maand aan het licht kwamen en waarvan we er hier op de blog over enkele praten.
Wat betreft de details van het huidige probleem, wordt vermeld dat: door de gedetecteerde kwetsbaarheid kan een stuurprogramma in de Linux-kernel worden uitgevoerd in een speciale JIT virtuele machine en dat dit op zijn beurt een niet-bevoorrechte lokale gebruiker in staat stelt om privilege-escalatie te krijgen en hun code op kernelniveau uit te voeren.
In de probleembeschrijving vermelden ze dat: de kwetsbaarheid is te wijten aan het onjuist scannen van de eBPF-programma's die voor uitvoering zijn verzonden, aangezien het eBPF-subsysteem hulpfuncties biedt, waarvan de juistheid wordt gecontroleerd door een speciale verificateur.
Dit beveiligingslek stelt lokale aanvallers in staat om de bevoegdheden op
getroffen Linux-kernelinstallaties. Een aanvaller moet eerst de
mogelijkheid om low-privilege code op het doelsysteem uit te voeren om
misbruik maken van deze kwetsbaarheid.De specifieke fout zit in de afhandeling van de eBPF-programma's. De vraag vloeit voort uit een gebrek aan goede validatie van door de gebruiker geleverde eBPF-programma's voordat u ze uitvoert.
Daarnaast, sommige functies vereisen dat de PTR_TO_MEM-waarde als argument wordt doorgegeven en de verificateur moet weten hoe groot het geheugen is dat bij het argument hoort om mogelijke bufferoverloopproblemen te voorkomen.
Terwijl voor functies bpf_ringbuf_submit en bpf_ringbuf_discard, gegevens over de grootte van het overgedragen geheugen worden niet gerapporteerd aan de verificateur (dit is waar het probleem begint), waarvan de aanvaller profiteert om geheugengebieden buiten de bufferlimiet te kunnen overschrijven bij het uitvoeren van speciaal vervaardigde eBPF-code.
Een aanvaller kan dit beveiligingslek misbruiken om: privileges escaleren en code uitvoeren in de kernelcontext. LET OP dat onbevoegde bpf standaard is uitgeschakeld bij de meeste distributies.
Er wordt vermeld dat om een gebruiker een aanval te laten uitvoeren, gebruiker moet zijn BPF-programma kunnen laden en veel recente Linux-distributies blokkeren het standaard (inclusief onbevoegde toegang tot eBPF is nu standaard verboden in de kernel zelf, vanaf versie 5.16).
Zo wordt vermeld dat de kwetsbaarheid kan worden misbruikt in de standaardconfiguratie in een distributie die nog steeds behoorlijk wordt gebruikt en vooral erg populair is Ubuntu 20.04LTS, maar in omgevingen zoals Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 en Fedora 33, manifesteert het zich alleen als de beheerder de parameter heeft ingesteld kernel.unprivileged_bpf_disabled naar 0.
Momenteel wordt als tijdelijke oplossing om de kwetsbaarheid te blokkeren vermeld dat onbevoegde gebruikers kunnen worden belet BPF-programma's uit te voeren door de opdracht in een terminal uit te voeren:
sysctl -w kernel.unprivileged_bpf_disabled=1
Ten slotte moet dat worden vermeld het probleem is verschenen sinds Linux-kernel 5.8 en is nog steeds niet gepatcht (inclusief versie 5.16) en daarom de exploitcode wordt 7 dagen uitgesteld En het wordt gepubliceerd om 12 uur UTC, dat wil zeggen op 00 januari 18.
Ermee Het is de bedoeling dat er voldoende tijd is om de corrigerende patches beschikbaar te stellen van de gebruikers van de verschillende Linux-distributies binnen de officiële kanalen van elk van deze en zowel ontwikkelaars als gebruikers kunnen de kwetsbaarheid corrigeren.
Voor degenen die geïnteresseerd zijn in de status van de vorming van updates met de eliminatie van het probleem in enkele van de belangrijkste distributies, moeten ze weten dat ze kunnen worden getraceerd vanaf deze pagina's: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch.
Wanneer je geïnteresseerd om er meer over te weten over de notitie kunt u de originele verklaring raadplegen In de volgende link.