Om de utnyttjas kan dessa brister tillåta angripare att få obehörig åtkomst till känslig information eller i allmänhet orsaka problem
För några dagar sedan kom nyheten om det Två sårbarheter upptäcktes i delsystemen i kärna av Linux, Netfilter och io_uring, som tillåter en lokal användare att höja sina privilegier på systemet.
Den första är sårbarhet. (CVE-2023-32233) som upptäcktes i undersystemet Netfilter och orsakas av användning efter fri minnesåtkomst i nf_tables-modulen, vilket säkerställer driften av nftables-paketfiltret.
Det här felet beror på att netfilter nf_tables tillåter uppdatering av dess konfiguration för batchförfrågningar som grupperar tillsammans flera grundläggande operationer i atomära transaktioner.
Problemet har reproducerats i olika versioner av Linux-kärnan, inklusive Linux 6.3.1 (nuvarande stabil) och sårbarheten kan utnyttjas genom att skicka specialgjorda förfrågningar om att uppdatera nftables-konfigurationen. Det nämns att attacken kräver åtkomst till nftables, som kan erhållas i ett separat nätverksnamnområde om du har rättigheterna CLONE_NEWUSER, CLONE_NEWNS eller CLONE_NEWNET (till exempel om du kan köra en isolerad behållare).
På denna bugg lovade forskaren som identifierade problemet att skjuta upp publiceringen av detaljerad information och ett exempel på en fungerande exploatering som ger ett rotskal i en vecka.
I ett specifikt scenario kan en ogiltig batchbegäran innehålla en operation som implicit tar bort en befintlig nft anonym uppsättning följt av en annan operation som försöker agera på samma anonyma nft set efter att den har tagits bort. I scenariot ovan är ett exempel på ovanstående operation att ta bort en befintlig nft-regel som använder en anonym nft-uppsättning. Och ett exempel på den senare operationen är ett försök att ta bort ett element från den nft anonyma arrayen efter att arrayen växelvis har tagits bort, den senare operationen kan till och med försöka ta bort den nft anonyma arrayen igen.
Som redan nämndes i början var detta flera dagar sedan och exploateringen och informationen var redan avslöjad. Exploateringen såväl som dess detaljer kan hittas på följande länk.
Det andra felet upptäcktes, var sårbarheten (CVE-2023-2598) in implementeringen av det asynkrona I/O-gränssnittet io_uring ingår i Linux-kärnan sedan version 5.1.
Problemet orsakas av en bugg i funktionen io_sqe_buffer_register, som tillåter åtkomst till fysiskt minne utanför gränserna för en statiskt allokerad buffert. Problemet visas endast i 6.3-grenen och kommer att åtgärdas i nästa 6.3.2-uppdatering.
Det nämns att tanken bakom den ursprungliga commit är att istället för att dela upp stora sidor som är buffrade i individuella bvec-poster, kan du ha en enda bvec-post för alla buffrade delar av sidan. Specifikt, om alla sidor i buffertkartan använder den första sidstrukturen och buffertlängden i en enda bvec-post istället för att mappa varje sida individuellt.
Så bvec kommer att sträcka sig långt bortom den enda sida som den faktiskt är tillåten att röra vid. Senare tillåter IORING_OP_READ_FIXED och IORING_OP_WRITE_FIXED oss att läsa och skriva till bufferten (dvs minnet som bvec pekar på) efter behag. Detta tillåter läs/skrivåtkomst till det fysiska minnet bakom den enda sida som vi faktiskt har.
Sårbarhetspublikationen nämner felreproduktionsstegen:
1. Skapa en memfd
2. Fel en enda sida i den filbeskrivningen
3. Använd MAP_FIXED för att mappa den här sidan upprepade gånger, till på varandra följande platser
4. Registrera hela regionen du just fyllde med den sidan som
en fast buffert med IORING_REGISTER_BUFFERS
5. Använd IORING_OP_WRITE_FIXED för att skriva bufferten till någon annan fil
(OOB läst) eller IORING_OP_READ_FIXED för att läsa data i bufferten (
OOB skriv).
Slutligen är det värt att nämna det är redan tillgänglig en fungerande exploateringsprototyp (CVE-2023-2598) för testning, så att du kan köra kod med kärnbehörighet.
Sårbarhet (CVE-2023-32233) Det fixades i 6.4-rc-uppdateringen och du kan följa sårbarhetskorrigeringen i distributioner på sidorna: Debian, ubuntu, Gentoo, RHEL, fedora, SUSE/openSUSE y Arch.