Dhawaan warkaas ayaa soo baxay la aqoonsaday baylah cusub (horey ugu taxan CVE-2021-4204) nidaamka hoosaadka eBPF (isbedel) ...
Waana in nidaamka hoose ee eBPF uusan u joojin inuu dhibaato amni oo weyn u yahay Kernel sababtoo ah si fudud waxa dhammaan ahaa 2021 laba dayacan ayaa la muujiyey bishiiba kuwaas oo aan kaga hadalno qaar ka mid ah halkan blog-ka.
Marka la eego faahfaahinta dhibaatada hadda jirta, waxaa lagu xusay Nuglaanta la ogaaday waxay u oggolaanaysaa darawalku inuu ku dhex socdo kernel Linux Mashiinka farsamada gaarka ah ee JIT iyo in tani ay iyaduna u oggolaanayso isticmaale maxalli ah oo aan mudnayn inuu helo mudnaanta sare u qaadida oo uu ku fuliyo koodka heerka kernel-ka.
Sharaxaada dhibaatada, waxay ku xuseen taas Nuglaanta waxaa sabab u ah iskaanka khaldan ee barnaamijyada eBPF ee loo gudbiyo fulinta, maadaama nidaamka-hoosaadka eBPF uu bixiyo hawlo caawiye ah, kaas oo sax ahaanshihiisa lagu xaqiijiyo xaqiijin gaar ah.
Nuglaantani waxay u oggolaanaysaa weeraryahannada maxalliga ah inay kordhiyaan mudnaanta
saameeyay rakibaadda kernel Linux. Weerarku waa inuu marka hore helaa
Awoodda lagu socodsiiyo koodhka mudnaanta hoose ee nidaamka bartilmaameedka si
ka faa'iidayso nuglaantan.Cilada gaarka ah ayaa ka jirta maaraynta barnaamijyada eBPF. Su'aasha Natiijooyinka ka imanaya la'aanta ansaxinta saxda ah ee barnaamijyada eBPF ee isticmaaluhu bixiyo ka hor inta aan la ordin.
Taas ka sokow, Hawlaha qaarkood waxay u baahan yihiin qiimaha PTR_TO_MEM in loo gudbiyo dood ahaan iyo xaqiijiyuhu waa inuu ogaadaa xajmiga xusuusta ee la xidhiidha doodda si looga fogaado dhibaatooyinka qulqulka qulqulka ee suurtagalka ah.
Halka hawlaha bpf_ringbuf_submit iyo bpf_ringbuf_discard, xogta ku saabsan cabbirka xusuusta la wareejiyay looma sheego xaqiijiyaha (Tani waa meesha ay dhibaatadu ka bilaabato), kaas oo uu weeraryahanku ka faa'iidaysto si uu u awoodo inuu isticmaalo inuu ku beddelo meelaha xusuusta ee ka baxsan xadka kaydka marka uu fulinayo koodka eBPF ee si gaar ah loo farsameeyay.
Weeraryahanku wuxuu ka faa'iidaysan karaa u nuglaanshahan sare u qaadida mudnaanta oo ku fuli koodka macnaha guud ee kernel. FADLAN OGOW in bpf aan mudnayn uu naafo yahay inta badan qaybinta.
Waxaa lagu xusay in si isticmaaluhu uu u fuliyo weerar. adeegsaduhu waa inuu awood u yeeshaa inuu ku shubo barnaamijkooda BPF iyo qaybo badan oo Linux ah oo dhowaan la qaybiyay ayaa xannibay Sida caadiga ah (oo ay ku jirto gelitaanka aan mudnayn ee eBPF hadda waa mamnuuc si caadi ah kernel laftiisa, sida nooca 5.16).
Tusaale ahaan, waxaa lagu xusay in baylahda waxaa laga faa'iidaysan karaa in qaabeynta default in Qaybinta oo weli aad loo isticmaalo oo ka sarreeya dhammaan aad loo jecel yahay sida ay tahay - Ubuntu 20.04 LTS, laakiin gudaha sida Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 iyo Fedora 33, waxay muujinaysaa kaliya haddii maamuluhu dejiyo cabbirka kernel.unprivileged_bpf_disabled ilaa 0.
Waqtigan xaadirka ah, qaab ka hortag ah si loo xakameeyo nuglaanta, waxaa la sheegay in isticmaalayaasha aan mudnaanta lahayn laga hortagi karo inay ku shaqeeyaan barnaamijyada BPF iyagoo ku socodsiinaya amarka terminal:
sysctl -w kernel.unprivileged_bpf_disabled=1
Ugu dambeyntiina, waa in la xuso taas Dhibaatadu waxay soo muuqatay tan iyo Linux kernel 5.8 oo weli aan la daboolin (oo ay ku jiraan nooca 5.16) waana sababtaas Koodhka ka faa'iidaysiga ayaa dib loo dhigi doonaa 7 maalmood Waxaana la daabici doonaa 12:00 UTC, taas oo ah, Janaayo 18, 2022.
Iyadoo taas leh Waxaa loogu talagalay in lagu oggolaado waqti ku filan in balastarrada sixitaanka la diyaariyo Isticmaalayaasha qaybinta Linux ee kala duwan ee kanaalada rasmiga ah ee mid kasta oo ka mid ah kuwan iyo labadaba horumariyayaal iyo isticmaalayaashu waxay sixi karaan dayacanka.
Kuwa danaynaya inay awoodaan inay ogaadaan xaaladda samaynta cusbooneysiinta iyadoo la tirtirayo dhibaatada qaar ka mid ah qaybinta ugu muhiimsan, waa inay ogaadaan in laga heli karo boggagan: Debian, RHEL, SUSE, Fedora, Ubuntu, Halka.
Naps xiiseynaya in aan wax badan ka ogaado ku saabsan qoraalka, waxaad kala tashan kartaa bayaanka asalka ah Xiriirka soo socda.