Dhawaan warku wuxuu faafiyay taas u nuglaanta ayaa la ogaaday (CVE-2021-29154) ee nidaamka hoose eBPF, kaas oo pKuu ogolaanayaa baafinta socda, falanqaynta nidaamka hoose, iyo ilaaliyaasha taraafikada taraafikada ku shaqeynaya gudaha kernel-ka Linux oo ah mashiin gaar ah oo JIT ah waxay u oggolaaneysaa isticmaale maxalli ah inuu ku maamulo lambarkaaga heerka kernel.
Sida ay sheegeen cilmi baarayaasha aqoonsaday nuglaanta, waxay awoodeen inay soosaaraan nooc shaqo oo ka faa'iideysi ah nidaamyada 86-bit iyo 32-bit x64 oo uu u adeegsan karo isticmaale aan la xaqirin.
Isla mar ahaantaana, Red Hat wuxuu xusayaa in darnaanta dhibaatada ay kuxirantahay helitaanka wicitaanka nidaamka eBPF. adeegsiga. Tusaale ahaan, RHEL iyo inta badan qaybinta kale ee Linux marka la eego, u nuglaanta waa laga faa'iideysan karaa markii BPF JIT la kartiyeeyo isticmaalena wuxuu leeyahay xuquuqda CAP_SYS_ADMIN.
Dhibaato ayaa laga helay kernel-ka Linux oo ay ku xadgudbi karaan
isticmaalayaasha maxalliga ah ee aan mudnaanta lahayn si ay u kordhiyaan mudnaanta.Dhibaatadu waxay tahay sida isku-duwayaasha BPF JIT ay u xisaabiyaan naqshadaha qaarkood
Waxyaabaha laanta ka soo baxa marka la abuurayo koodhka mashiinka. Tan waa lagu xadgudbi karaa
- si loo abuuro koodh mashiin aan caadi ahayn oo loogu ordo qaab kernel,
halka qulqulka socodka la afduubay si loo fuliyo koodh amni darro ah.
Waana inay tafaasiil ka bixiyaan arrintaas dhibaatada waxaa sababay qalad la abuuray markii la xisaabinayo isugeynta tilmaamaha laan-qeybsiga inta lagu gudajiro isku-duwaha JIT ee abuuraya koodhka mashiinka.
Gaar ahaan, waxaa la xusay in marka la abuurayo tilmaamaha laanta, aan lagu xisaabtamin in barokaca laga yaabo inuu isbeddelo ka dib markii uu soo maray marxaladda ugu fiicnaanta, sidaa darteed fashilaadan waxaa loo isticmaali karaa in lagu soo saaro nambarka mashiinka aan caadiga ahayn oo lagu fuliyo heerka. .
Waa in la ogaadaa in Tani maahan u nuglaanta kaliya nidaamka hoose eBPF ee caan ku noqday sanadihii la soo dhaafay, ilaa dhammaadkii Maarso, laba u nuglaansho kale ayaa lagu ogaadey kernelka (CVE-2020-27170, CVE-2020-27171), kaas oo bixiya awoodda loo adeegsado eBPF si looga gudbo ka hortagga u nuglaanta heerka 'Specter-class', taas oo u oggolaanaysa waxa ku jira xusuusta kernel in la go'aamiyo taasoo keenta abuuritaanka xaalado ku saabsan fulinta mala-awaalka hawlgallada qaarkood.
Weerarka 'Specter attack' wuxuu u baahan yahay joogitaan taxane gaar ah oo amarro ah oo ku jira lambarka mudnaanta leh, taas oo horseedda fulinta mala-awaalka tilmaamaha. EBPF, dhowr dariiq ayaa laga helay si loo abuuro tilmaamaha noocaas ah iyada oo loo marayo khalkhalgelinta barnaamijyada BPF ee loo gudbiyo fulintooda.
- Jilicsanaanta CVE-2020-27170 waxaa sababa khalkhalgelinta tilmaamaha ee hubiyaha BPF, taas oo sabata hawlgallo mala awaal ah oo lagu galayo meel ka baxsan keydka.
- Jilicsanaanta CVE-2020-27171 waxay la xiriirtaa cillad qulqulka integer-ka ah marka ay la shaqeyneyso tilmaamayaasha, taasoo horseedeysa helitaanka mala awaalka ah ee ka-soo-baxyada xogta.
Arrimahan waxaa horey loogu hagaajiyay noocyada kernel 5.11.8, 5.10.25, 5.4.107, 4.19.182, iyo 4.14.227, waxaana lagu soo daray cusbooneysiinta kernel inta badan qeybinta Linux. Cilmi-baarayaashu waxay diyaariyeen nooc ka-faa'iideysi ah oo u oggolaanaya isticmaale aan la xaqirayn inuu xogta kala soo baxo xusuusta kernel.
Sida mid ka mid ah xalka in soo jeedinta Red Hat gudaheeda waa:
Yaraynta:
Dhibaatadani saameyn kuma yeelanayso nidaamyada badankood markii hore. Maamulaha wuxuu ku qasbanaan lahaa inuu awood u yeesho BPF JIT inay saameyn ku yeelato.
Waa lagu naafoobi karaa isla markiiba amarka:
# echo 0 > /proc/sys/net/core/bpf_jit_enableAma way ka naafoobi kartaa dhammaan kabaha nidaamka dambe adoo qiimeeynaya /etc/sysctl.d/44-bpf -jit-disable
## start file ## net.core.bpf_jit_enable=0</em> end file ##
Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato ku saabsan baylahnimadan, waxaad ka eegi kartaa faahfaahinta ku jirta xiriirka soo socda.
Waxaa xusid mudan in dhibaatadu ay sii socoto ilaa nooca 5.11.12 (loo dhan yahay) oo aan wali lagu xalin inta badan qaybinta, inkasta oo sixitaanku horeyba u jiray. balastar loo heli karaa