Nedávno zdieľame tu na blogu správy o záujme, ktorý spoločnosť Microsoft prejavila o subsystéme eGMP, Pretože má vybudovaný subsystém pre Windows, ktorý využíva metódu statickej analýzy abstraktnej interpretácie, ktorá v porovnaní s kontrolou eBPF pre Linux vykazuje nižšiu mieru falošných pozitívov, podporuje analýzu slučiek a poskytuje dobrú škálovateľnosť.
Metóda zohľadňuje mnoho typických vzorcov výkonnosti získaných z analýzy existujúcich programov eBPF. Tento subsystém eBPF je súčasťou jadra Linuxu od verzie 3.18 a Umožňuje vám spracovať prichádzajúce / odchádzajúce sieťové pakety, pakety ďalej, riadiť šírku pásma, zachytávať systémové volania, riadiť prístup a sledovať.
A hovorí sa o tom, to bolo nedávno odhalené boli identifikované dve nové zraniteľné miesta v subsystéme eBPF, ktorý umožňuje spúšťať ovládače vo vnútri jadra Linuxu na špeciálnom virtuálnom stroji JIT.
Obidve chyby zabezpečenia poskytujú príležitosť na spustenie kódu s právami jadra, mimo izolovaného virtuálneho stroja eBPF.
Informácie o problémoch bol publikovaný tímom Zero Day Initiative, ktorý prevádzkuje súťaž Pwn2Own, počas ktorej boli tento rok demonštrované tri útoky na Ubuntu Linux, pri ktorých boli použité predtým neznáme chyby zabezpečenia (pokiaľ chyby v eBPF súvisia s týmito útokmi, nehlásia sa).
Sledovanie limitu eBPF ALU32 pre bitové operácie (AND, OR a XOR) 32-bitové limity neboli aktualizované.
Manfred Paul (@_manfp) z tímu RedRocket CTF (@redrocket_ctf) s ním pracujeIniciatíva Zero Day spoločnosti Trend Micro zistila, že ide o túto chybu zabezpečenia dalo by sa to previesť na mimo hraníc čítanie a zápis v jadre. Toto bolo hlásené ako ZDI-CAN-13590 a pridelené CVE-2021-3490.
- CVE-2021-3490: Zraniteľnosť je spôsobená chýbajúcim overením medzných hodnôt pre 32-bitové hodnoty pri vykonávaní bitových operácií AND, OR a XOR na eBPF ALU32. Útočník môže túto chybu využiť na čítanie a zápis údajov mimo limitov pridelenej medzipamäte. Problém s operáciami XOR je okolo jadra 5.7-rc1 a operácií AND a OR od 5.10-rc1.
- CVE-2021-3489: zraniteľnosť je spôsobená chybou v implementácii ring bufferu a súvisí so skutočnosťou, že funkcia bpf_ringbuf_reserve nekontrolovala možnosť, že veľkosť oblasti alokovanej pamäte je menšia ako skutočná veľkosť bufferu ringbuf. Problém je evidentný od vydania verzie 5.8-rc1.
Okrem toho, môžeme tiež pozorovať ďalšiu zraniteľnosť v jadre Linuxu: CVE-2021-32606, ktorý umožňuje miestnemu používateľovi povýšiť svoje oprávnenia na koreňovú úroveň. Problém sa prejavuje od linuxového jadra 5.11 a je spôsobený rasovým stavom pri implementácii protokolu CAN ISOTP, ktorý umožňuje meniť parametre väzby soketov kvôli chýbajúcej konfigurácii správnych zámkov v isotp_setsockopt () pri spracovaní vlajky CAN_ISOTP_SF_BROADCAST.
Raz zásuvka, ISOTP sa naďalej viaže na zásuvku prijímača, ktorá môže po uvoľnení vyrovnávacej pamäte pokračovať v používaní štruktúr spojených so soketom (použitie následných voľných kvôli volaniu štruktúry isotp_sock už prepustený, keď volámsotp_rcv(). Manipuláciou s údajmi môžete prepísať ukazovateľ na funkciu sk_error_report () a spustite kód na úrovni jadra.
Stav opráv pre chyby zabezpečenia v distribúciách je možné sledovať na týchto stránkach: ubuntu, debian, RHEL, Fedora, SUSE, Oblúk).
Opravy sú k dispozícii aj ako opravy (CVE-2021-3489 a CVE-2021-3490). Využitie problému závisí od dostupnosti systémového volania eBPF pre používateľa. Napríklad v predvolených nastaveniach na RHEL vyžaduje zneužitie tejto chyby zabezpečenia, aby mal používateľ oprávnenie CAP_SYS_ADMIN.
Konečne ak o tom chcete vedieť viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.