Nyheten brøt nylig ut det identifisert en ny sårbarhet (allerede katalogisert under CVE-2021-4204) i eBPF-delsystemet (til en forandring) ...
Og det er at eBPF-undersystemet ikke har sluttet å være et stort sikkerhetsproblem for kjernen fordi det i hele 2021 enkelt ble avslørt to sårbarheter per måned, og vi snakker om noen av dem her i bloggen.
Når det gjelder detaljene i det aktuelle problemet, nevnes det at oppdaget sårbarhet lar en driver kjøre inne i Linux-kjernen i en spesiell virtuell JIT-maskin og som igjen lar en uprivilegert lokal bruker eskalere privilegier og kjøre koden deres på kjernenivå.
I problembeskrivelsen nevner de det sårbarheten skyldes feil skanning av eBPF-programmene som er overført for kjøring, siden eBPF-delsystemet gir hjelpefunksjoner, hvis korrekthet kontrolleres av en spesiell verifikator.
Denne sårbarheten lar lokale angripere øke privilegiene på
Berørte Linux Kernel-installasjoner. En angriper må først få tak i
muligheten til å kjøre kode med lave privilegier på målsystemet til
utnytte denne sårbarheten.Den spesifikke feilen eksisterer i håndteringen av eBPF-programmer. Spørsmålet skyldes mangel på riktig validering av brukerleverte eBPF-programmer før du kjører dem.
Bortsett fra det, noen av funksjonene krever at PTR_TO_MEM-verdien sendes som et argument og verifikatoren må vite størrelsen på minnet knyttet til argumentet for å unngå potensielle bufferoverløpsproblemer.
Mens for funksjonene bpf_ringbuf_submit og bpf_ringbuf_discard, data om størrelsen på det overførte minnet rapporteres ikke til verifikatoren (det er her problemet starter), som angriperen utnytter til å kunne bruke til å overskrive minneområder utenfor buffergrensen ved utføring av spesiallaget eBPF-kode.
En angriper kan utnytte denne sårbarheten til eskalere privilegier og kjøre kode i konteksten til kjernen. MERK at uprivilegert bpf er deaktivert som standard på de fleste distribusjoner.
Det nevnes at for at en bruker skal kunne utføre et angrep, brukeren må kunne laste inn BPF-programmet ditt, og mange nyere Linux-distribusjoner blokkerer dette som standard (inkludert uprivilegert tilgang til eBPF er nå forbudt som standard i selve kjernen, fra og med versjon 5.16).
For eksempel nevnes det at sårbarheten kan utnyttes i standardkonfigurasjonen i en distribusjon som fortsatt er ganske brukt og fremfor alt veldig populær som den er Ubuntu 20.04 LTS, men i miljøer som Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 og Fedora 33, vises det bare hvis administratoren har satt parameteren kernel.unprivileged_bpf_disabled til 0.
For øyeblikket, som en løsning for å blokkere sårbarheten, nevnes det at du kan forhindre uprivilegerte brukere fra å kjøre BPF-programmer ved å kjøre kommandoen i en terminal:
sysctl -w kernel.unprivileged_bpf_disabled=1
Til slutt skal det nevnes at problemet har dukket opp siden Linux-kjernen 5.8 og forblir uopprettet (inkludert versjon 5.16) og det er derfor utnyttelseskoden vil bli forsinket i 7 dager og vil bli publisert kl. 12:00 UTC, det vil si 18. januar 2022.
Med det det er ment å gi nok tid til at korrigerende plastre blir tilgjengelig av brukerne av de forskjellige Linux-distribusjonene innenfor de offisielle kanalene til hver av disse, og både utviklere og brukere kan rette opp nevnte sårbarhet.
For de som er interessert i å kunne vite om statusen for dannelsen av oppdateringer med eliminering av problemet i noen av hoveddistribusjonene, bør de vite at de kan spores fra disse sidene: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch.
Lur interessert i å vite mer om det om notatet, kan du se den originale erklæringen I den følgende lenken.