recent împărtășim aici pe blog știrile despre interesul pe care Microsoft l-a arătat despre subsistem eGMP, Deoarece a construit un subsistem pentru Windows care utilizează metoda de analiză statică de interpretare abstractă, care, comparativ cu verificatorul eBPF pentru Linux, demonstrează o rată fals pozitivă mai mică, acceptă analiza buclei și oferă o scalabilitate bună.
Metoda ia în considerare multe tipare tipice de performanță obținute din analiza programelor eBPF existente. Acest subsistem eBPF a fost inclus în kernel-ul Linux de la versiunea 3.18 și Vă permite să procesați pachete de rețea de intrare / ieșire, pachete de redirecționare, controlul lățimii de bandă, interceptarea apelurilor de sistem, controlul accesului și urmărirea.
Și este vorba despre asta, s-a dezvăluit recent că au fost identificate două vulnerabilități noi în subsistem eBPF, care vă permite să rulați drivere în nucleul Linux într-o mașină virtuală specială JIT.
Ambele vulnerabilități oferă posibilitatea de a rula cod cu drepturi de nucleu, în afara mașinii virtuale eBPF izolate.
informație despre probleme a fost publicat de echipa Zero Day Initiative, care conduce competiția Pwn2Own, în cursul căreia anul acesta au fost demonstrate trei atacuri asupra Ubuntu Linux, în care au fost utilizate vulnerabilități necunoscute anterior (dacă vulnerabilitățile din eBPF sunt legate de aceste atacuri nu este raportat).
EBPF ALU32 limitează urmărirea pentru operații bitbit (AND, OR și XOR) Limitele pe 32 de biți nu au fost actualizate.
Manfred Paul (@_manfp) din echipa RedRocket CTF (@redrocket_ctf) care lucrează cu elInițiativa Zero Day a Trend Micro a descoperit că această vulnerabilitate ar putea fi convertit în citiri și scrieri în afara limitelor în nucleu. Asta a fost raportat ca ZDI-CAN-13590 și atribuit CVE-2021-3490.
- CVE-2021-3490: Vulnerabilitatea se datorează lipsei verificării în afara limitelor pentru valorile pe 32 de biți atunci când se efectuează operații AND bit, OR și XOR pe eBPF ALU32. Un atacator poate profita de acest bug pentru a citi și scrie date în afara limitelor bufferului alocat. Problema cu operațiile XOR a apărut încă de la nucleul 5.7-rc1 și AND și OR de la 5.10-rc1.
- CVE-2021-3489: vulnerabilitatea este cauzată de un bug în implementarea bufferului de apel și este legată de faptul că funcția bpf_ringbuf_reserve nu a verificat posibilitatea ca dimensiunea zonei de memorie alocată să fie mai mică decât dimensiunea reală a buffer-ului ringbuf. Problema a fost evidentă de la lansarea 5.8-rc1.
În plus, putem observa, de asemenea, o altă vulnerabilitate în nucleul Linux: CVE-2021-32606, care permite unui utilizator local să își ridice privilegiile la nivelul rădăcină. Problema se manifestă de la nucleul Linux 5.11 și este cauzată de o condiție de cursă în implementarea protocolului CAN ISOTP, ceea ce face posibilă modificarea parametrilor de legare a socketului din cauza lipsei de configurație a blocărilor corespunzătoare din isotp_setsockopt () când steagul este procesat CAN_ISOTP_SF_BROADCAST.
Odata ce soclu, ISOTP continuă să se lege la socketul receptorului, care poate continua să utilizeze structurile asociate socketului după ce cache-ul este eliberat (utilizare după utilizare datorită apelului de structură isotp_sock deja lansat când sunsotp_rcv(). Prin manipularea datelor, puteți înlocui indicatorul cu funcția sk_error_report () și rulați codul la nivelul nucleului.
Starea remedierilor pentru vulnerabilitățile din distribuții poate fi urmărită pe aceste pagini: Ubuntu, Debian, RHEL, Fedora, SUSE, Arc).
Remediile sunt disponibile și ca patch-uri (CVE-2021-3489 și CVE-2021-3490). Exploatarea problemei depinde de disponibilitatea apelului de sistem eBPF pentru utilizator. De exemplu, în setările implicite de pe RHEL, exploatarea vulnerabilității necesită ca utilizatorul să aibă privilegii CAP_SYS_ADMIN.
În cele din urmă dacă vrei să afli mai multe despre asta, puteți verifica detaliile În următorul link.