Nyheten släpptes nyligen att identifierat en ny sårbarhet (redan katalogiserad under CVE-2021-4204) i eBPF-delsystemet (för en förändring) ...
Och det är att eBPF-delsystemet inte har upphört att vara ett stort säkerhetsproblem för kärnan, eftersom lätt under vad som var hela 2021 avslöjades två sårbarheter per månad och som vi pratar om några av dem här på bloggen.
Beträffande detaljerna i det aktuella problemet nämns att upptäckt sårbarhet tillåter en drivrutin att köra inuti Linux-kärnan i en speciell virtuell JIT-maskin, som i sin tur tillåter en oprivilegierad lokal användare att få privilegieskalering och köra sin kod på kärnnivå.
I problembeskrivningen nämner de det sårbarheten beror på felaktig skanning av eBPF-program som överförs för exekvering, eftersom eBPF-delsystemet tillhandahåller hjälpfunktioner, vars korrekthet kontrolleras av en speciell kontrollör.
Denna sårbarhet tillåter lokala angripare att öka privilegier på
Berörda Linux Kernel-installationer. En angripare måste först skaffa
förmåga att köra kod med låga privilegier på målsystemet till
utnyttja denna sårbarhet.Den specifika bristen finns i hanteringen av eBPF-program. Frågan resultat av bristen på korrekt validering av användarlevererade eBPF-program innan du kör dem.
Förutom det, några av funktionerna kräver att PTR_TO_MEM-värdet skickas som ett argument och testaren måste känna till storleken på minnet som är associerat med argumentet för att undvika potentiella buffertspillproblem.
Medan för funktionerna bpf_ringbuf_submit och bpf_ringbuf_discard, data om storleken på det överförda minnet rapporteras inte till verifieraren (det är här problemet börjar), vilket angriparen utnyttjar för att använda för att skriva över minnesområden utanför gränsen genom att exekvera specialgjord eBPF-kod.
En angripare kan utnyttja denna sårbarhet till eskalera privilegier och exekvera kod i kärnkontexten. OBSERVERA att oprivilegierad bpf är inaktiverad som standard på de flesta distributioner.
Det nämns att för att en användare ska kunna utföra en attack, användaren ska kunna ladda sitt BPF-program och många nya Linux-distributioner blockerar detta som standard (inklusive oprivilegierad åtkomst till eBPF är nu förbjuden som standard i själva kärnan, från och med version 5.16).
Till exempel nämns att sårbarhet kan utnyttjas i standardkonfigurationen i en distribution som fortfarande är mycket använd och framför allt väldigt populär som den är Ubuntu 20.04 LTS, men i miljöer som Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 och Fedora 33 manifesterar det sig bara om parametern har ställts in av administratören kernel.unprivileged_bpf_disabled till 0.
För närvarande, som en lösning för att blockera sårbarheten, nämns det att oprivilegierade användare kan förhindras från att köra BPF-program genom att köra kommandot i en terminal:
sysctl -w kernel.unprivileged_bpf_disabled=1
Slutligen bör det nämnas att problemet har dykt upp sedan linux kärna 5.8 och förblir oparpat (inklusive version 5.16) och det är därför exploateringskoden kommer att försenas i 7 dagar och kommer att publiceras kl. 12:00 UTC, det vill säga den 18 januari 2022.
Med det det är avsett att ge tillräckligt med tid för att korrigerande plåster ska göras tillgängliga av användarna av de olika linux-distributionerna inom de officiella kanalerna för var och en av dessa och både utvecklare och användare kan korrigera nämnda sårbarhet.
För dem som är intresserade av att kunna veta om statusen för bildandet av uppdateringar med eliminering av problemet i någon av huvuddistributionerna, bör de veta att de kan spåras från dessa sidor: Debian, RHEL, SUSE, fedora, ubuntu, Arch.
Om du är det intresserad av att veta mer om det om noten kan du konsultera det ursprungliga uttalandet I följande länk.