Kamakailan lamang ibinabahagi namin dito sa blog ang balita tungkol sa interes na ipinakita ng Microsoft tungkol sa subsystem eGMP, Dahil nagtayo ito ng isang subsystem para sa Windows na gumagamit ng abstract interpretasyon na static na pamamaraan ng pagtatasa, na kung ihahambing sa checker ng eBPF para sa Linux, nagpapakita ng isang mas mababang maling positibong rate, sumusuporta sa pag-aaral ng loop, at nagbibigay ng mahusay na kakayahang sumukat.
Isinasaalang-alang ng pamamaraan ang maraming tipikal na mga pattern ng pagganap na nakuha mula sa pagtatasa ng mga mayroon nang mga programa sa eBPF. Ang subsistem na ito ng eBPF ay naisama sa Linux kernel mula noong bersyon 3.18 at Pinapayagan kang iproseso ang mga papasok / papalabas na network packet, forward packet, kontrolin ang bandwidth, maharang ang mga tawag sa system, kontrolin ang pag-access, at isagawa ang pagsubaybay.
At pinag-uusapan ba ito, kamakailan lamang ay isiniwalat na nakilala ang dalawang bagong kahinaan sa subsystem Ang eBPF, na nagbibigay-daan sa iyo upang magpatakbo ng mga driver sa loob ng Linux kernel sa isang espesyal na JIT virtual machine.
Ang parehong mga kahinaan ay nagbibigay ng pagkakataon na magpatakbo ng code na may mga karapatan sa kernel, sa labas ng nakahiwalay na virtual machine ng eBPF.
Impormasyon tungkol sa mga problema ay nai-publish ng koponan ng Zero Day Initiative, na nagpapatakbo ng kumpetisyon ng Pwn2Own, kung saan ngayong taon ay ipinakita ang tatlong pag-atake sa Ubuntu Linux, kung saan ginamit ang dati nang hindi kilalang kahinaan (kung ang mga kahinaan sa eBPF ay nauugnay sa mga pag-atake na ito ay hindi naiulat).
Natuklasan na ang eBPF ALU32 ay naglilimita sa pagsubaybay para sa kaunting pagpapatakbo (AT, O at XOR) Ang mga limitasyong 32-bit ay hindi na-update.
Si Manfred Paul (@_manfp) ng koponan ng RedRocket CTF (@redrocket_ctf) ay nakikipagtulungan sa kanyaNatuklasan ng inisyatiba ng Zero Day ng Trend Micro na ang kahinaan na ito maaari itong mai-convert sa labas ng mga hangganan na nagbabasa at nagsusulat sa kernel. Ito ay naging iniulat bilang ZDI-CAN-13590 at nakatalaga sa CVE-2021-3490.
- CVE-2021-3490: Ang kahinaan ay dahil sa kakulangan ng pag-verify sa labas ng mga hangganan para sa mga halagang 32-bit kapag gumaganap ng kaunting operasyon AT, O, at XOR sa eBPF ALU32. Maaaring samantalahin ng isang umaatake ang bug na ito upang mabasa at magsulat ng data sa labas ng mga limitasyon ng inilaang buffer. Ang problema sa pagpapatakbo ng XOR ay nasa paligid mula noong kernel 5.7-rc1, at AT at O mula noong 5.10-rc1.
- CVE-2021-3489: ang kahinaan ay sanhi ng isang bug sa pagpapatupad ng ring buffer at nauugnay sa ang katunayan na ang function na bpf_ringbuf_reserve ay hindi suriin para sa posibilidad na ang laki ng inilalaan na lugar ng memorya ay mas maliit kaysa sa aktwal na laki ng ringbuf buffer. Ang problema ay maliwanag mula nang ilabas ang 5.8-rc1.
Bukod dito, maaari rin nating obserbahan ang isa pang kahinaan sa kernel ng Linux: CVE-2021-32606, alin Pinapayagan ang isang lokal na gumagamit na itaas ang kanilang mga pribilehiyo sa antas ng ugat. Ang problema ay nagpapakita ng sarili mula noong Linux kernel 5.11 at sanhi ng isang kundisyon ng lahi sa pagpapatupad ng CAN ISOTP protocol, na ginagawang posible na baguhin ang mga socket binding parameter dahil sa kawalan ng pagsasaayos ng tamang mga kandado sa isotp_setsockopt () kapag naproseso ang watawat CAN_ISOTP_SF_BROADCAST.
Kapag ang socket, ISOTP patuloy na nagbubuklod sa socket ng tatanggap, na maaaring magpatuloy na gamitin ang mga istrukturang nauugnay sa socket matapos mapalaya ang nauugnay na memorya (paggamit-pagkatapos-libre dahil sa tawag sa istraktura isotp_sock pinakawalan na kapag tumawag akosotp_rcv(). Sa pamamagitan ng pagmamanipula ng data, maaari mong i-override ang pointer sa pagpapaandar sk_error_report () at patakbuhin ang iyong code sa antas ng kernel.
Maaaring subaybayan ang katayuan ng mga pag-aayos para sa mga kahinaan sa mga pamamahagi sa mga pahinang ito: Ubuntu, Debian, RHEL, Fedora, SUSE, Arko).
Ang mga pag-aayos ay magagamit din bilang mga patch (CVE-2021-3489 at CVE-2021-3490). Ang pagsasamantala sa problema ay nakasalalay sa pagkakaroon ng tawag sa sistema ng eBPF para sa gumagamit. Halimbawa, sa default na pagsasaayos sa RHEL, ang pagsasamantala sa kahinaan ay nangangailangan ng gumagamit na magkaroon ng mga pribilehiyo ng CAP_SYS_ADMIN.
Sa wakas kung nais mong malaman ang tungkol dito, maaari mong suriin ang mga detalye Sa sumusunod na link.