Kamakailan lang ay nabalitaan iyon nakilala ang isang bagong kahinaan (nakalista na sa ilalim ng CVE-2021-4204) sa eBPF subsystem (para maiba) ...
At ito ay ang subsystem ng eBPF ay hindi tumigil sa pagiging isang mahusay na problema sa seguridad para sa Kernel dahil madali sa lahat ng 2021 dalawang kahinaan ang ipinahayag bawat buwan at kung saan pinag-uusapan natin ang ilan sa mga ito dito sa blog.
Tungkol sa mga detalye ng kasalukuyang problema, nabanggit na ang nakitang kahinaan ay nagpapahintulot sa isang driver na tumakbo sa loob ng Linux kernel sa isang espesyal na JIT virtual machine at na ito naman ay nagbibigay-daan sa isang walang pribilehiyong lokal na user na makakuha ng privilege escalation at i-execute ang kanilang code sa kernel level.
Sa paglalarawan ng problema, binanggit nila iyon ang kahinaan ay dahil sa maling pag-scan ng mga programang eBPF na ipinadala para sa pagpapatupad, dahil ang eBPF subsystem ay nagbibigay ng mga auxiliary function, ang kawastuhan nito ay na-verify ng isang espesyal na verifier.
Ang kahinaang ito ay nagbibigay-daan sa mga lokal na umaatake na pataasin ang mga pribilehiyo sa
apektadong Linux kernel installation. Kailangan munang makuha ng isang attacker ang
kakayahang magpatakbo ng low-privilege code sa target na system upang
pagsamantalahan ang kahinaan na ito.Ang partikular na kapintasan ay umiiral sa paghawak ng mga programang eBPF. Ang tanong resulta ng kakulangan ng wastong pagpapatunay ng mga programang eBPF na ibinigay ng user bago patakbuhin ang mga ito.
Bukod diyan, ang ilan sa mga function ay nangangailangan ng PTR_TO_MEM value na maipasa bilang argumento at dapat malaman ng verifier ang laki ng memorya na nauugnay sa argument upang maiwasan ang mga potensyal na problema sa buffer overflow.
Habang para sa mga function bpf_ringbuf_submit at bpf_ringbuf_discard, ang data sa inilipat na laki ng memorya ay hindi iniuulat sa verifier (dito magsisimula ang problema), na sinasamantala ng umaatake upang magamit upang i-overwrite ang mga lugar ng memorya sa labas ng limitasyon ng buffer kapag nag-execute ng espesyal na ginawang eBPF code.
Maaaring samantalahin ng isang umaatake ang kahinaang ito sa palakihin ang mga pribilehiyo at isagawa ang code sa konteksto ng kernel. PAKITANDAAN na ang unprivileged bpf ay hindi pinagana bilang default sa karamihan ng mga distribusyon.
Nabanggit na upang ang isang gumagamit ay magsagawa ng isang pag-atake, Dapat na mai-load ng user ang kanilang BPF program at hinaharangan ito ng maraming kamakailang pamamahagi ng Linux bilang default (kabilang ang unprivileged access sa eBPF ay ipinagbabawal na ngayon bilang default sa kernel mismo, sa bersyon 5.16).
Halimbawa, ito ay nabanggit na ang kahinaan maaaring mapagsamantalahan sa default na pagsasaayos sa isang pamamahagi na medyo ginagamit pa rin at higit sa lahat ay napakapopular Ubuntu 20.04 LTS, ngunit sa mga kapaligiran tulad ng Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 at Fedora 33, makikita lamang ito kung itinakda ng administrator ang parameter kernel.unprivileged_bpf_disabled sa 0.
Sa kasalukuyan, bilang isang solusyon upang harangan ang kahinaan, binanggit na ang mga hindi karapat-dapat na user ay mapipigilan sa pagpapatakbo ng mga programa ng BPF sa pamamagitan ng pagpapatakbo ng command sa isang terminal:
sysctl -w kernel.unprivileged_bpf_disabled=1
Panghuli, dapat itong nabanggit na ang problema ay lumitaw mula noong Linux kernel 5.8 at nananatiling unpatched (kabilang ang bersyon 5.16) at iyon ang dahilan kung bakit ang exploit code ay maaantala ng 7 araw At ipa-publish ito sa 12:00 UTC, iyon ay, sa Enero 18, 2022.
Gamit ito Ito ay nilayon na magbigay ng sapat na oras para sa mga corrective patch na maging available ng mga gumagamit ng iba't ibang mga distribusyon ng Linux sa loob ng mga opisyal na channel ng bawat isa sa mga ito at maaaring itama ng mga developer at user ang nasabing kahinaan.
Para sa mga interesadong malaman ang tungkol sa katayuan ng pagbuo ng mga update sa pag-aalis ng problema sa ilan sa mga pangunahing distribusyon, dapat nilang malaman na maaari silang masubaybayan mula sa mga pahinang ito: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch.
Kung ikaw interesadong malaman ang higit pa tungkol dito tungkol sa tala, maaari mong konsultahin ang orihinal na pahayag Sa sumusunod na link.