Če jih izkoristijo, lahko napadalcem omogočijo nepooblaščen dostop do občutljivih informacij ali na splošno povzročijo težave
Novica je to nedavno razkrilaV jedru Linuxa sta bili odkriti dve ranljivosti (že katalogizirano pod CVE-2022-42896), kar potencialno se lahko uporablja za orkestriranje oddaljenega izvajanja kode na ravni jedra s pošiljanjem posebej oblikovanega paketa L2CAP prek povezave Bluetooth.
Omenjeno je, da prva ranljivost (CVE-2022-42896) se pojavi pri dostopu do že sproščenega področja pomnilnika (use-after-free) pri izvajanju funkcij l2cap_connect in l2cap_le_connect_req.
Neuspeh po ustvarjanju kanala prek povratnega klica pokličite nova_povezava, ki ne blokira nastavitve zanj, ampak nastavi časovnik (__set_chan_timer), po časovni omejitvi, priklic funkcije l2cap_chan_timeout in čiščenje kanala brez preverjanja dokončanja dela s kanalom v funkcijah l2cap_le_connect*.
Privzeta časovna omejitev je 40 sekund in domnevalo se je, da se stanje dirke ne more pojaviti s tolikšno zamudo, vendar se je izkazalo, da je bilo zaradi druge napake v gonilniku SMP mogoče takoj priklicati časovnik in doseči stanje dirke.
Težava v l2cap_le_connect_req lahko povzroči uhajanje pomnilnika jedra, v l2cap_connect pa lahko prepišete vsebino pomnilnika in zaženete kodo. Prvo različico napada lahko izvedemo s pomočjo Bluetooth LE 4.0 (od leta 2009), drugo z uporabo Bluetooth BR/EDR 5.2 (od leta 2020).
Obstajajo ranljivosti po izdaji v funkcijah jedra Linuxa l2cap_connect in l2cap_le_connect_req net/bluetooth/l2cap_core.c, ki lahko omogočijo izvajanje kode in uhajanje pomnilnika jedra (oziroma) na daljavo prek Bluetootha. Oddaljeni napadalec lahko izvede kodo, ki uhaja iz pomnilnika jedra prek Bluetootha, če je v neposredni bližini žrtve. Priporočamo posodobitev pretekle objave https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4
Druga ranljivost ki je bil odkrit (že katalogiziran pod CVE-2022-42895), je ki ga povzroča uhajanje preostalega pomnilnika v funkciji l2cap_parse_conf_req, ki se lahko uporablja za oddaljeno pridobivanje informacij o kazalcih na strukture jedra s pošiljanjem posebej oblikovanih konfiguracijskih zahtev.
O tej ranljivosti je omenjeno, da v funkciji l2cap_parse_conf_req je bila uporabljena struktura l2cap_conf_efs, za katerega dodeljeni pomnilnik ni bil predhodno inicializiran, in z manipulacijami z zastavico FLAG_EFS_ENABLE, je bilo mogoče doseči vključitev starih podatkov baterije v paketu.
zastavico kanala FLAG_EFS_ENABLE namesto spremenljivke remote_efs za odločiti, ali naj se uporabi struktura efs l2cap_conf_efs ali ne in mogoče je nastaviti zastavico FLAG_EFS_ENABLE, ne da bi dejansko poslali konfiguracijske podatke EFS in v tem primeru neinicializirana struktura efs l2cap_conf_efs bodo poslane nazaj oddaljenemu odjemalcu, s čimer bodo uhajale informacije o vsebino pomnilnika jedra, vključno s kazalci jedra.
Težava se pojavi samo v sistemih, kjer je jedro zgrajen je z možnostjo CONFIG_BT_HS (privzeto onemogočeno, vendar omogočeno v nekaterih distribucijah, kot je Ubuntu). Uspešen napad zahteva tudi nastavitev parametra HCI_HS_ENABLED prek vmesnika za upravljanje na true (se ne uporablja privzeto).
Pri teh dveh odkritih hroščih so že bili izdani prototipi izkoriščanja, ki delujejo na Ubuntu 22.04, da bi prikazali možnost oddaljenega napada.
Za izvedbo napada mora biti napadalec v dosegu Bluetooth; predhodno seznanjanje ni potrebno, vendar mora biti Bluetooth v računalniku aktiven. Za napad je dovolj, da poznate MAC naslov žrtvine naprave, ki ga je mogoče določiti z vohanjem ali pri nekaterih napravah izračunati na podlagi Wi-Fi MAC naslova.
Na koncu je vredno omeniti to ugotovljen je bil še en podoben problem (CVE-2022-42895) v krmilniku L2CAP ki lahko pušča vsebino pomnilnika jedra v paketih informacij o konfiguraciji. Prva ranljivost se kaže od avgusta 2014 (jedro 3.16), druga pa od oktobra 2011 (jedro 3.0).
Za tiste, ki jih zanima sledenje popravkom v distribucijah, lahko to storijo na naslednjih straneh: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora y Arch .