Ak sú tieto chyby zneužité, môžu útočníkom umožniť získať neoprávnený prístup k citlivým informáciám alebo vo všeobecnosti spôsobiť problémy
Pred pár dňami to priniesla správa Boli zistené dve zraniteľnosti subsystémy linuxové jadro, Netfilter a io_uring, ktoré umožňujú lokálnemu používateľovi zvýšiť svoje privilégiá v systéme.
Prvým je zraniteľnosť. (CVE-2023-32233), ktorý bol zistený v subsystéme Netfilter a spôsobené use-after-free prístupom do pamäte v module nf_tables, ktorý zabezpečuje činnosť filtra paketov nftables.
Táto chyba je spôsobená tým, že netfilter nf_tables umožňuje aktualizáciu jeho konfigurácie pre dávkové požiadavky, ktoré sa zoskupujú viacero základných operácií v atómových transakciách.
Problém bol reprodukovaný v rôznych verziách jadra Linuxu, vrátane Linuxu 6.3.1 (aktuálne stabilné) a túto zraniteľnosť možno zneužiť odoslaním špeciálne vytvorených požiadaviek na aktualizáciu konfigurácie nftables. Spomína sa, že útok vyžaduje prístup k nftables, ktoré je možné získať v samostatnom mennom priestore siete, ak máte práva CLONE_NEWUSER, CLONE_NEWNS alebo CLONE_NEWNET (napríklad ak môžete spustiť izolovaný kontajner).
Pri tejto chybe výskumník, ktorý problém identifikoval, sľúbil, že o týždeň odloží zverejnenie podrobných informácií a príkladu pracovného exploitu, ktorý poskytuje root shell.
V špecifickom scenári môže neplatná dávková požiadavka obsahovať operáciu, ktorá implicitne vymaže existujúcu anonymnú množinu nft, po ktorej nasleduje iná operácia, ktorá sa pokúsi konať s rovnakou anonymnou množinou nft po jej odstránení. Vo vyššie uvedenom scenári je príkladom vyššie uvedenej operácie odstránenie existujúceho pravidla nft, ktoré používa anonymnú množinu nft. A príkladom poslednej operácie je pokus o odstránenie prvku z tohto anonymného poľa nft po tom, čo sa pole striedavo odstráni, druhá operácia sa môže dokonca pokúsiť znova explicitne odstrániť toto anonymné pole nft.
Ako už bolo spomenuté na začiatku, bolo to pred niekoľkými dňami a exploit a informácie už boli zverejnené. Exploit, ako aj jeho podrobnosti nájdete na nasledujúcom odkaze.
Druhá zistená chyba, bola zraniteľnosť (CVE-2023-2598) v implementácia asynchrónneho I/O rozhrania io_uring súčasťou linuxového jadra od verzie 5.1.
Problém je spôsobený chybou vo funkcii io_sqe_buffer_register, ktorá umožňuje prístup k fyzickej pamäti mimo hraníc staticky pridelenej vyrovnávacej pamäte. Problém sa vyskytuje iba vo vetve 6.3 a bude opravený v ďalšej aktualizácii 6.3.2.
Spomína sa, že myšlienkou pôvodného odovzdania je, že namiesto rozdelenia veľkých stránok, ktoré sú uložené vo vyrovnávacej pamäti na jednotlivé položky bvec, môžete mať jednu položku bvec pre všetky uložené časti stránky. Konkrétne, ak všetky stránky v mape vyrovnávacej pamäte používajú štruktúru prvej stránky a dĺžku vyrovnávacej pamäte v jednej položke Bvec namiesto mapovania každej stránky jednotlivo.
Takže bvec bude siahať ďaleko za jednu stránku, ktorej sa v skutočnosti môže dotknúť. Neskôr nám IORING_OP_READ_FIXED a IORING_OP_WRITE_FIXED umožňujú ľubovoľne čítať a zapisovať do vyrovnávacej pamäte (tj pamäte, na ktorú ukazuje bvec). To umožňuje prístup na čítanie/zápis do fyzickej pamäte za jedinou stránkou, ktorú skutočne máme.
V publikácii o zraniteľnosti sa spomínajú kroky reprodukcie chýb:
1. Vytvorte memfd
2. Chyba jednej stránky v tomto deskriptore súboru
3. Použite MAP_FIXED na opakované mapovanie tejto stránky na po sebe idúce miesta
4. Zaregistrujte celý región, ktorý ste práve vyplnili touto stránkou
pevná vyrovnávacia pamäť s IORING_REGISTER_BUFFERS
5. Použite IORING_OP_WRITE_FIXED na zápis do vyrovnávacej pamäte do iného súboru
(čítanie OOB) alebo IORING_OP_READ_FIXED na čítanie údajov vo vyrovnávacej pamäti (
OOB písať).
Nakoniec to stojí za zmienku je už k dispozícii funkčný prototyp využitia (CVE-2023-2598) na testovanie, čo vám umožní spúšťať kód s oprávneniami jadra.
Zraniteľnosť (CVE-2023-32233) Bol opravený v aktualizácii 6.4-rc a opravu zraniteľnosti v distribúciách môžete sledovať na stránkach: debian, ubuntu, gentoo, RHEL, Fedora, SUSE/openSUSE y Oblúk.