Недавно мы делимся здесь, в блоге, новостями об интересе, проявленном Microsoft о подсистеме eGMP, Поскольку он построил подсистему для Windows, которая использует метод статического анализа абстрактной интерпретации, который, по сравнению со средством проверки eBPF для Linux, демонстрирует более низкую частоту ложных срабатываний, поддерживает анализ петель и обеспечивает хорошую масштабируемость.
Этот метод учитывает многие типичные шаблоны производительности, полученные в результате анализа существующих программ eBPF. Эта подсистема eBPF был включен в ядро Linux с версии 3.18 и Он позволяет обрабатывать входящие / исходящие сетевые пакеты, пересылать пакеты, управлять полосой пропускания, перехватывать системные вызовы, контролировать доступ и отслеживать.
И это говорит об этом, недавно было обнаружено, что выявлены две новые уязвимости в подсистеме eBPF, который позволяет запускать драйверы внутри ядра Linux на специальной виртуальной машине JIT.
Обе уязвимости дают возможность запускать код с правами ядра, вне изолированной виртуальной машины eBPF.
Информация о проблемах был опубликован командой Zero Day Initiative, который запускает соревнование Pwn2Own, в ходе которого в этом году были продемонстрированы три атаки на Ubuntu Linux, в которых использовались ранее неизвестные уязвимости (если уязвимости в eBPF связаны с этими атаками, не сообщается).
Отслеживание пределов eBPF ALU32 для побитовых операций (И, ИЛИ и XOR) 32-битные ограничения не обновлялись.
Манфред Пол (@_manfp) из команды RedRocket CTF (@redrocket_ctf), работающий с нимИнициатива Trend Micro Zero Day обнаружила, что эта уязвимость он может быть преобразован в чтение и запись за пределами допустимого диапазона в ядре. Это было зарегистрировано как ZDI-CAN-13590 и присвоено CVE-2021-3490.
- CVE-2021-3490: Уязвимость связана с отсутствием проверки выхода за пределы для 32-битных значений при выполнении побитовых операций AND, OR и XOR на eBPF ALU32. Злоумышленник может воспользоваться этой ошибкой для чтения и записи данных за пределами выделенного буфера. Проблема с операциями XOR существует с ядра 5.7-rc1, а AND и OR с 5.10-rc1.
- CVE-2021-3489: уязвимость вызвана ошибкой в реализации кольцевого буфера и связана с тем фактом, что функция bpf_ringbuf_reserve не проверяла возможность того, что размер выделенной области памяти меньше фактического размера буфера кольцевого буфера. Проблема стала очевидной с момента выпуска 5.8-rc1.
Кроме того, мы также можем наблюдать еще одну уязвимость в ядре Linux: CVE-2021-32606, который позволяет локальному пользователю повысить свои привилегии до корневого уровня. Проблема проявляется, начиная с ядра Linux 5.11, и вызвана состоянием гонки в реализации протокола CAN ISOTP, что позволяет изменять параметры привязки сокета из-за отсутствия конфигурации надлежащих блокировок в isotp_setsockopt () когда флаг обрабатывается CAN_ISOTP_SF_BROADCAST.
Однажды розетка, ISOTP продолжает связываться с сокетом-приемником, который может продолжать использовать структуры, связанные с сокетом, после освобождения кеша (использование после освобождения из-за вызова структуры isotp_sock уже выпущен, когда я звонюsotp_rcv(). Манипулируя данными, вы можете переопределить указатель на функцию sk_error_report () и запустите свой код на уровне ядра.
Статус исправлений уязвимостей в дистрибутивах можно отслеживать на следующих страницах: Ubuntu, Debian, RHEL, Fedora, SUSE, Арка).
Исправления также доступны в виде исправлений (CVE-2021-3489 и CVE-2021-3490). Эксплуатация проблемы зависит от доступности системного вызова eBPF для пользователя. Например, в настройках по умолчанию в RHEL для эксплуатации уязвимости требуется, чтобы у пользователя были права CAP_SYS_ADMIN.
В конце концов если вы хотите узнать об этом больше, вы можете проверить детали По следующей ссылке.