Nylig ble det sluppet nyheten om at flere sårbarheter klassifisert som farlige ble oppdaget i Linux-kjernen og som lar en lokal bruker heve privilegiene sine på systemet.
Den første av sårbarhetene er CVE-2022-0995 og er tilstede i hendelsessporingsundersystemet «watch_queue» og dette fører til at data blir skrevet til et område av kjerneminne utenfor den tildelte bufferen. Angrepet kan utføres av enhver bruker uten privilegier og få koden utført med kjerneprivilegier.
Sårbarheten er tilstede i watch_queue_set_size()-funksjonen og er assosiert med et forsøk på å fjerne alle pekere fra listen, selv om de ikke har blitt tildelt minne. Problemet manifesterer seg når du bygger kjernen med alternativet "CONFIG_WATCH_QUEUE=y", som brukes av de fleste Linux-distribusjoner.
Det nevnes at sårbarheten det ble løst i en endring lagt til kjerne 11. mars.
Den andre sårbarheten som ble avslørt er CVE-2022-27666 hva er finnes i kjernemodulene esp4 og esp6 som implementerer Encapsulating Security Payload (ESP) transformasjoner for IPsec som brukes ved bruk av både IPv4 og IPv6.
Sårbarhet lar en lokal bruker med normale privilegier overskrive objekter i kjerneminnet og heve privilegiene deres i systemet. Problemet skyldes et misforhold mellom størrelsen på det tildelte minnet og dataene som faktisk mottas, siden den maksimale størrelsen på meldingen kan overskride den maksimale størrelsen på det tildelte minnet for strukturen skb_page_frag_refill.
Det er nevnt at sårbarheten ble fikset i kjernen 7. mars (fast i 5.17, 5.16.15 osv.), pluss en fungerende prototype er publisert fra en utnyttelse som lar en vanlig bruker få root-tilgang på Ubuntu Desktop 21.10 i standardinnstillinger på GitHub.
Det heter at med mindre endringer vil utnyttelsen også fungere på Fedora og Debian. Det skal bemerkes at utnyttelsen opprinnelig ble forberedt for pwn2own 2022-konkurransen, men den tilknyttede feilen ble identifisert og fikset av kjerneutviklerne, så det ble besluttet å avsløre detaljene om sårbarheten.
Andre sårbarheter som ble avslørt er CVE-2022-1015 y CVE-2022-1016 i netfilter-delsystemet i nf_tables-modulen som mater nftables-pakkefilteret. Forskeren som identifiserte problemene kunngjorde forberedelsene av fungerende utnyttelser for begge sårbarhetene, som er planlagt utgitt noen dager etter at distribusjonene har gitt ut kjernepakkeoppdateringer.
Det første problemet lar en uprivilegert lokal bruker oppnå en skriving utenfor grensene til stabelen. Et overløp oppstår i behandlingen av velformede nftables-uttrykk som behandles under valideringsfasen av indekser levert av en bruker som har tilgang til nftables-reglene.
Sårbarheten skyldes til det faktum at utviklerne antydet det verdien av "enum nft_registers reg" er én byte, mens når visse optimaliseringer er aktivert, kompilatoren, i henhold til spesifikasjon C89, du kan bruke en 32-bits verdi for det. På grunn av dette særpreg tilsvarer ikke størrelsen som brukes til å sjekke og tildele minne den faktiske størrelsen på dataene i strukturen, noe som fører til at strukturen på stabelpekere blir svekket.
Problemet kan utnyttes til å kjøre kode på kjernenivå, men et vellykket angrep krever tilgang til nftables.
De kan fås i et eget nettverksnavneområde (nettverksnavneområder) med CLONE_NEWUSER- eller CLONE_NEWNET-rettigheter (for eksempel hvis du kan kjøre en isolert beholder). Sårbarheten er også nært knyttet til optimaliseringene som brukes av kompilatoren, som for eksempel aktiveres ved kompilering i «CONFIG_CC_OPTIMIZE_FOR_PERFORMANCE=y»-modus. Utnyttelse av sårbarheten er mulig fra og med Linux-kjernen 5.12.
Den andre sårbarheten i netfilter oppstår når du får tilgang et minneområde som allerede er frigjort (use-after-free) i nft_do_chain-driveren og kan forårsake en lekkasje av uinitialiserte kjerneminneområder som kan leses ved å manipulere med nftables-uttrykk og brukes for eksempel til å bestemme pekeradresser under utviklingsutnyttelser for andre sårbarheter. Utnyttelse av sårbarheten er mulig fra og med Linux-kjernen 5.13.
Sikkerhetene ble løst i de nylig utgitte korrigerende kjerneoppdateringene.