geçenlerde Microsoft'un gösterdiği ilgiyle ilgili haberleri burada blogda paylaşıyoruz alt sistem hakkında eGMP, Windows için soyut yorumlama statik analiz yöntemini kullanan, Linux için eBPF denetleyicisine kıyasla daha düşük bir yanlış pozitif oranı gösteren, döngü analizini destekleyen ve iyi ölçeklenebilirlik sağlayan bir alt sistem oluşturduğu için.
Yöntem, mevcut eBPF programlarının analizinden elde edilen birçok tipik performans modelini hesaba katar. Bu eBPF alt sistemi 3.18 sürümünden beri Linux çekirdeğine dahil edilmiştir ve Gelen / giden ağ paketlerini işlemenize, paketleri iletmenize, bant genişliğini kontrol etmenize, sistem çağrılarına müdahale etmenize, erişimi kontrol etmenize ve izlemenize olanak tanır.
Ve bundan bahsediyor muyakın zamanda ortaya çıktı ki iki yeni güvenlik açığı belirlendi alt sistemde eBPF, sürücüleri özel bir JIT sanal makinede Linux çekirdeği içinde çalıştırmanıza izin verir.
Her iki güvenlik açığı da çekirdek haklarıyla kod çalıştırma fırsatı sağlar, izole eBPF sanal makinenin dışında.
Bilgi sorunlar hakkında Zero Day Initiative ekibi tarafından yayınlandı, Pwn2Own yarışmasını yürüten, bu yıl Ubuntu Linux'a yapılan ve daha önce bilinmeyen güvenlik açıklarının kullanıldığı üç saldırının gösterildiği (eBPF'deki güvenlik açıkları bu saldırılarla ilgiliyse, rapor edilmemiştir).
EBPF ALU32, bitsel işlemler için izlemeyi sınırlandırır (AND, OR ve XOR) 32 bitlik limitler güncellenmedi.
RedRocket CTF ekibinden (@redrocket_ctf) Manfred Paul (@_manfp) onunla birlikte çalışıyorTrend Micro'nun Zero Day girişimi, bu güvenlik açığının çekirdekte sınır dışı okuma ve yazma işlemlerine dönüştürülebilir. Bu oldu ZDI-CAN-13590 olarak rapor edildi ve CVE-2021-3490 olarak atandı.
- CVE-2021-3490: Güvenlik açığı, eBPF ALU32 üzerinde bitsel AND, OR ve XOR işlemleri gerçekleştirirken 32 bit değerler için sınır dışı doğrulama eksikliğinden kaynaklanmaktadır. Saldırgan, ayrılan arabellek sınırları dışında veri okumak ve yazmak için bu hatadan yararlanabilir. XOR işlemleriyle ilgili sorun, 5.7-rc1 kernelinden beri ve AND ve OR 5.10-rc1'den beri var.
- CVE-2021-3489: güvenlik açığı, halka tampon uygulamasındaki bir hatadan kaynaklanır ve bpf_ringbuf_reserve işlevinin, tahsis edilen bellek alanının boyutunun ringbuf tamponunun gerçek boyutundan daha küçük olma olasılığını kontrol etmemesiyle ilgilidir. Sorun, 5.8-rc1'in piyasaya sürülmesinden bu yana açıkça görülüyor.
Buna ek olarak, Linux çekirdeğinde başka bir güvenlik açığı da gözlemleyebiliriz: CVE-2021-32606, hangi yerel bir kullanıcının ayrıcalıklarını kök düzeyine yükseltmesine izin verir. Sorun, Linux çekirdeği 5.11'den beri kendini gösterir ve CAN ISOTP protokolünün uygulanmasındaki bir yarış koşulundan kaynaklanır, bu da i 'deki uygun kilitlerin konfigürasyon eksikliğinden dolayı soket bağlama parametrelerini değiştirmeyi mümkün kılar.sotp_setsockopt () bayrak işlendiğinde CAN_ISOTP_SF_BROADCAST.
Bir kere soket, ISOTP önbellek serbest bırakıldıktan sonra soketle ilişkili yapıları kullanmaya devam edebilen alıcı soketine bağlanmaya devam eder (yapı çağrısı nedeniyle serbest kullanım sonrası kullanım) isotp_sock aradığımda zaten serbest bırakıldısotp_rcv(). Verileri işleyerek, işaretçiyi işlevin üzerine yazabilirsiniz. sk_error_report () ve kodunuzu çekirdek düzeyinde çalıştırın.
Dağıtımlardaki güvenlik açıklarına yönelik düzeltmelerin durumu şu sayfalarda izlenebilir: Ubuntu, Debian, RHEL, Fötr şapka, SUSE, Kemer).
Düzeltmeler yamalar olarak da mevcuttur (CVE-2021-3489 ve CVE-2021-3490). Sorunun kötüye kullanılması, kullanıcı için eBPF sistem çağrısının mevcudiyetine bağlıdır. Örneğin, RHEL'deki varsayılan ayarlarda, güvenlik açığından yararlanmak, kullanıcının CAP_SYS_ADMIN ayrıcalıklarına sahip olmasını gerektirir.
Nihayet bunun hakkında daha fazla bilgi edinmek istiyorsanız, detayları kontrol edebilirsin Aşağıdaki bağlantıda.