Waxay ka heleen nuglaansho nidaamka hoos yimaada eBPF ee u oggolaanaya fulinta koodhka heerka kernel 

Darkcrizt

Daqiiqado 4

Dhawaan waxaan halkaan ku wadaagaynaa barta wararka ku saabsan xiisaha ay Microsoft muujisay ku saabsan nidaamka hoose eGMP, Maaddaama ay u dhistay nidaam-hoosaad Windows-ka kaas oo adeegsanaya habka falanqaynta aan la taaban karin ee tarjumaadda, taas oo, marka la barbar dhigo hubiyaha eBPF ee Linux, ay muujineyso qiime hoose oo been abuur ah, oo ay taageerto falanqaynta loop, waxayna siineysaa miisaan wanaagsan.

Qaabku wuxuu tixgelinayaa qaababka waxqabadka badan ee caadiga ah ee laga helo falanqaynta barnaamijyada jira ee eBPF. Nidaamkan hoos yimaada eBPF ayaa lagu soo daray kernel-ka Linux illaa nooca 3.18 iyo Waxay kuu ogolaaneysaa inaad ka baaraandegto xirmooyinka shabakadaha soo galaya / baxaya, xirmooyinka gudbinta, xakameynta baaxadda, wicitaanada nidaamka dhegeysiga, xakameynta gelitaanka, iyo sameynta kormeerka.

Taasina waa kahadalkeeda, waxaa dhawaan shaaca laga qaaday in laba nuglaansho cusub ayaa la aqoonsaday nidaamka hoose eBPF, oo kuu oggolaaneysa inaad darawallada ku dhex maamusho kernel-ka Linux mashiin gaar ah oo JIT dalwad ah.

Labada nugulba waxay siinayaan fursad ay ku maamulaan koodh leh xuquuqda kernel, ka baxsan mashiinka eBPF ee go'doonsan.

Macluumaad dhibaatooyinka waxaa daabacay kooxda Zero Day Initiative, taas oo maamusha tartanka Pwn2Own, inta lagu gudajiray sanadkaan seddex weerar oo lagu qaaday Ubuntu Linux ayaa lasoo bandhigay, kaas oo nuglaansho aan horey loo aqoon loo adeegsaday (hadii nuglaanta eBPF ay laxiriiraan weeraradan lama soo sheegin).

Waxaa la ogaaday in eBPF ALU32 uu xadidayo raadinta howlaha yar yar (IYO, AMA iyo XOR) Xadka 32-bit lama cusboonaysiin.

Manfred Paul (@_manfp) oo ka tirsan kooxda RedRocket CTF (@redrocket_ctf) oo la shaqeeyaHindisaha Trend Micro ee Zero Day ayaa daahfuray in u nuglaantaas waxaa loo rogi karaa akhrinta iyo wax ku qorida xarkaha. Tani waxay ahayd loo soo sheegay ZDI-CAN-13590 oo loo xilsaaray CVE-2021-3490.

  • XAFLAD-2021-3490: Jilicsanaanta ayaa u sabab ah la'aanta xaqiijinta xuduudaha ka baxsan ee qiimaha 32-bit ah marka wax yar la qabanayo IYO, AMA, iyo hawlgallada XOR ee eBPF ALU32. Weeraryahan ayaa ka faa'iideysan kara cayayaankaas si uu u akhriyo una qoro xog ka baxsan xadka keydka loo qoondeeyay. Dhibaatada hawlgalada XOR waxay soo jirtay tan iyo kernel 5.7-rc1, iyo IYO iyo AMA ilaa 5.10-rc1.
  • XAFLAD-2021-3489: u nuglaanta waxaa keena cillad ku jirta hirgelinta keydka giraanta oo waxay la xiriirtaa xaqiiqda ah in howlaha bpf_ringbuf_reserve uusan hubin suurtagalnimada in cabbirka aagga xusuusta loo qoondeeyay uu ka yar yahay cabbirka dhabta ah ee keydka ringbuf. Dhibaatadu way muuqatay tan iyo markii la sii daayay 5.8-rc1.

Sidoo kale, waxaan sidoo kale ku fiirsan karnaa nuglaanta kale ee ku jirta Linux-ka: CVE-2021-32606, kaas oo waxay u oggolaaneysaa isticmaale maxalli ah inuu sare ugu qaado mudnaantooda heerka asalka. Dhibaatadu waxay iskeed u muujineysaa ilaa Linux kernel 5.11 waxaana sababa xaalad jinsi ah hirgelinta borotokoolka 'IS ISPP', taas oo suurtagal ka dhigeysa in la beddelo xuduudaha isku xidhka godka sababtoo ah la'aanta qaabeynta qufulada saxda ah ee isotp_setsockopt () marka calanka la shaqeynayo CAN_ISOTP_SF_BROADCAST.

Mar baaldi, ISOTP sii wadaya inuu ku xirmo godka qaataha, kaas oo sii wadi kara inuu isticmaalo dhismayaasha la xariira godka ka dib xusuusta la xiriirta la sii daayay (isticmaal-kadib-bilaash sababo la xiriira wicitaanka dhismaha isotp_sock mar hore la sii daayay markaan wacosotp_rcv(). Adoo adeegsanaya xogta, waad ka adkaan kartaa tilmaamaha shaqada sk_error_report () oo koodhkaaga ku socod heer kernel ah.

Xaaladda hagaajinta dayacanka ee qaybinta ayaa lagala socon karaa bogaggan: Ubuntu, Debian, RHEL, Fedora, SUSE, halka).

Dayactirka sidoo kale waxaa loo heli karaa sida balastar (CVE-2021-3489 iyo CVE-2021-3490). Ka faa'iideysiga dhibaatada waxay kuxirantahay helitaanka wicitaanka nidaamka eBPF ee adeegsadaha. Tusaale ahaan, qaabeynta asaasiga ah ee RHEL, ka faa'iideysiga nuglaanta waxay u baahan tahay adeegsadaha inuu haysto mudnaanta CAP_SYS_ADMIN.

Finalmente haddii aad rabto inaad wax badan ka ogaato, waad hubin kartaa faahfaahinta Xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.