Son zamanlarda haber bunu kırdı yeni bir güvenlik açığı tespit etti (zaten CVE-2021-4204) altında listelenmiştir eBPF alt sisteminde (değişiklik için) ...
Ve eBPF alt sistemi, Çekirdek için büyük bir güvenlik sorunu olmayı bırakmadı çünkü 2021'in tamamında kolayca ayda iki güvenlik açığı ortaya çıktı ve bunlardan bazıları hakkında burada blogda konuşuyoruz.
Mevcut sorunun detayları ile ilgili olarak, algılanan güvenlik açığı, bir sürücünün Linux çekirdeği içinde çalışmasına izin verir özel bir JIT sanal makinesinde ve bunun da yerel ayrıcalığı olmayan bir kullanıcının ayrıcalık yükseltmesi almasına ve kodunu çekirdek düzeyinde yürütmesine olanak tanır.
Sorun açıklamasında, bundan bahsediyorlar güvenlik açığı, yürütme için iletilen eBPF programlarının yanlış taranmasından kaynaklanmaktadır.eBPF alt sistemi, doğruluğu özel bir doğrulayıcı tarafından doğrulanan yardımcı işlevler sağladığından.
Bu güvenlik açığı, yerel saldırganların
Etkilenen Linux Çekirdeği yüklemeleri. Saldırgan önce şunları elde etmelidir:
hedef sistemde düşük ayrıcalıklı kod çalıştırma yeteneği
bu güvenlik açığından yararlanın.Spesifik kusur, eBPF programlarının işlenmesinde mevcuttur. Soru kullanıcı tarafından sağlanan eBPF programlarının uygun şekilde doğrulanmamasından kaynaklanır onları çalıştırmadan önce.
Bunun yanı sıra, bazı işlevler, PTR_TO_MEM değerinin bağımsız değişken olarak iletilmesini gerektirir ve doğrulayıcı, olası arabellek taşması sorunlarından kaçınmak için argümanla ilişkili belleğin boyutunu bilmelidir.
Fonksiyonlar için iken bpf_ringbuf_submit ve bpf_ringbuf_discard, aktarılan bellek boyutundaki veriler doğrulayıcıya bildirilmez (sorunun başladığı yer burasıdır), saldırganın özel hazırlanmış eBPF kodunu yürütürken arabellek sınırı dışındaki bellek alanlarının üzerine yazmak için kullanabilmek için yararlandığı bir durumdur.
Saldırgan bu güvenlik açığından yararlanabilir. ayrıcalıkları yükseltin ve çekirdek bağlamında kod yürütün. LÜTFEN UNUTMAYIN imtiyazsız bpf çoğu dağıtımda varsayılan olarak devre dışıdır.
Bir kullanıcının saldırı gerçekleştirebilmesi için, kullanıcı BPF programını yükleyebilmeli ve birçok yeni Linux dağıtımı onu engellemelidir. varsayılan olarak (eBPF'ye ayrıcalıksız erişim dahil olmak üzere, sürüm 5.16'dan itibaren artık çekirdeğin kendisinde varsayılan olarak yasaklanmıştır).
Örneğin, güvenlik açığından bahsedilmiştir. varsayılan yapılandırmada kullanılabilir hala oldukça kullanılan ve her şeyden önce olduğu gibi çok popüler olan bir dağıtım Ubuntu 20.04LTS, ancak Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 ve Fedora 33 gibi ortamlarda, yalnızca yönetici parametreyi ayarladıysa ortaya çıkar kernel.unprivileged_bpf_disabled - 0.
Şu anda, güvenlik açığını engellemeye yönelik bir geçici çözüm olarak, ayrıcalığı olmayan kullanıcıların bir terminalde şu komutu çalıştırarak BPF programlarını çalıştırmasının engellenebileceğinden bahsedilmektedir:
sysctl -w kernel.unprivileged_bpf_disabled=1
Son olarak belirtilmelidir ki sorun Linux çekirdeği 5.8'den beri ortaya çıktı ve yamasız kaldı (5.16 sürümü dahil) ve bu yüzden istismar kodu 7 gün boyunca ertelenecek Ve saat 12:00 UTC'de yani 18 Ocak 2022'de yayınlanacak.
Bununla Düzeltici yamaların kullanıma sunulması için yeterli zamana izin verilmesi amaçlanmıştır. Bunların her birinin resmi kanalları içindeki farklı Linux dağıtımlarının kullanıcılarının ve hem geliştiricilerin hem de kullanıcıların söz konusu güvenlik açığını düzeltebilir.
Bazı ana dağıtımlarda sorunun ortadan kalkması ile güncellemelerin oluşma durumu hakkında bilgi sahibi olmak isteyenler şu sayfalardan takip edilebileceğini bilmelidirler: Debian, RHEL, SUSE, Fötr şapka, Ubuntu, Arch.
Şekerleme onun hakkında daha fazla bilgi edinmekle ilgileniyor not hakkında, orijinal ifadeye başvurabilirsiniz Aşağıdaki bağlantıda.