Pred kratkim tukaj na blogu delimo novice o zanimanju, ki ga je pokazal Microsoft o podsistemu eGMP, Ker je zgradil podsistem za Windows, ki uporablja metodo statične analize abstraktne interpretacije, ki v primerjavi s pregledovalnikom eBPF za Linux prikazuje nižjo stopnjo lažno pozitivnih rezultatov, podpira analizo zanke in zagotavlja dobro razširljivost.
Metoda upošteva številne tipične vzorce uspešnosti, pridobljene z analizo obstoječih programov eBPF. Ta podsistem eBPF je vključen v jedro Linuxa od različice 3.18 in Omogoča vam obdelavo dohodnih / odhodnih omrežnih paketov, posredovanje paketov, nadzor pasovne širine, prestrezanje sistemskih klicev, nadzor dostopa in sledenje.
In ali se že govori o tem, je bilo nedavno razkrito, da ugotovljeni sta bili dve novi ranljivosti v podsistemu eBPF, ki omogoča zagon gonilnikov znotraj jedra Linuxa v posebnem navideznem računalniku JIT.
Obe ranljivosti omogočata zagon kode s pravicami do jedra, zunaj izoliranega navideznega stroja eBPF.
Informacije o težavah je objavila skupina Zero Day Initiative, ki vodi tekmovanje Pwn2Own, med katerim so bili letos predstavljeni trije napadi na Ubuntu Linux, pri katerih so bile uporabljene prej neznane ranljivosti (če so ranljivosti v eBPF povezane s temi napadi, se ne poroča).
Ugotovljeno je bilo, da sledenje mej eBPF ALU32 za bitne operacije (AND, OR in XOR) 32-bitne omejitve niso bile posodobljene.
Manfred Paul (@_manfp) iz ekipe RedRocket CTF (@redrocket_ctf), ki dela z njimPobuda Zero Day podjetja Trend Micro je odkrila to ranljivost lahko se spremeni v branje in pisanje v jedru. To je že bilo prijavljen kot ZDI-CAN-13590 in dodeljen CVE-2021-3490.
- CVE-2021-3490: Ranljivost je posledica pomanjkanja preverjanja zunaj meja za 32-bitne vrednosti pri izvajanju bitnih operacij AND, OR in XOR na eBPF ALU32. Napadalec lahko izkoristi to napako za branje in pisanje podatkov zunaj meja dodeljenega vmesnega pomnilnika. Težava z operacijami XOR obstaja že od jedra 5.7-rc1, AND in OR pa od 5.10-rc1.
- CVE-2021-3489: ranljivost povzroča napaka pri izvajanju medpomnilnika obroča in je povezana z dejstvom, da funkcija bpf_ringbuf_reserve ni preverila, ali je velikost dodeljenega pomnilniškega območja manjša od dejanske velikosti medpomnilnika ringbuf. Težava je očitna od izdaje 5.8-rc1.
Poleg tega, lahko opazimo tudi drugo ranljivost v jedru Linuxa: CVE-2021-32606, ki omogoča lokalnemu uporabniku, da svoje privilegije dvigne na korensko raven. Težava se kaže že od jedra Linux 5.11 in je posledica dirkalnih pogojev pri izvajanju protokola CAN ISOTP, ki omogoča spreminjanje parametrov vezave vtičnice zaradi pomanjkanja konfiguracije ustreznih ključavnic v isotp_setsockopt () ko je zastava obdelana CAN_ISOTP_SF_BROADCAST.
Ko je vtičnica, ISOTP se še naprej veže na sprejemno vtičnico, ki lahko še naprej uporablja strukture, povezane z vtičnico, potem ko se sprosti pripadajoči pomnilnik (brez uporabe zaradi klica strukture isotp_sock že sproščeno, ko pokličemsotp_rcv(). Z manipulacijo podatkov lahko preglasite kazalec na funkcijo sk_error_report () in zaženite kodo na ravni jedra.
Stanju popravkov ranljivosti v distribucijah lahko sledite na teh straneh: Ubuntu, Debian, RHEL, Fedora, SUSE, Arch).
Popravki so na voljo tudi v obliki popravkov (CVE-2021-3489 in CVE-2021-3490). Izkoriščanje težave je odvisno od razpoložljivosti klica v sistem eBPF za uporabnika. Na primer, v privzeti konfiguraciji na RHEL mora izkoriščanje ranljivosti uporabnika imeti privilegije CAP_SYS_ADMIN.
Končno če želite vedeti več o tem, lahko preverite podrobnosti V naslednji povezavi.