Vài ngày trước tin tức đã được phát hành rằng lỗ hổng bảo mật đã được xác định (đã được lập danh mục theo CVE-2022-0185) vàn API ngữ cảnh hệ thống tệp được cung cấp bởi nền tảng Linux điều này có thể cho phép người dùng cục bộ có được đặc quyền root trên hệ thống.
Nó được đề cập rằng vấn đề là một người dùng không có đặc quyền có thể nhận được các quyền đó trong một vùng chứa riêng biệt nếu hỗ trợ cho không gian tên người dùng được bật trên hệ thống.
Ví dụ: không gian tên người dùng được bật theo mặc định trên Ubuntu và Fedora, nhưng không được bật trên Debian và RHEL (trừ khi sử dụng nền tảng cách ly vùng chứa). Ngoài việc leo thang đặc quyền, lỗ hổng cũng có thể được sử dụng để thoát ra khỏi vùng chứa bị cô lập nếu vùng chứa có quyền CAP_SYS_ADMIN.
Lỗ hổng tồn tại trong function inherit_parse_param () trong VFS và do thiếu sự xác thực thích hợp về kích thước tối đa của các tham số được cung cấp trên các hệ thống tệp không hỗ trợ API ngữ cảnh hệ thống tệp.
Gần đây, một số người bạn trong nhóm CTF Crusaders of Rust của tôi và tôi đã gặp phải sự cố tràn đống nhân Linux trong 0 ngày. Chúng tôi đã tìm ra lỗi thông qua việc làm mờ bằng syzkaller và nhanh chóng phát triển nó thành một bản khai thác Ubuntu LPE. Sau đó, chúng tôi đã viết lại nó để thoát và tận gốc cơ sở hạ tầng Kubernetes CTF cứng của Google. Lỗi này ảnh hưởng đến tất cả các phiên bản hạt nhân kể từ 5.1 (5.16 hiện đang được xử lý) và đã được gán CVE-2022-0185. Chúng tôi đã báo cáo điều này với danh sách gửi thư bảo mật và phân phối Linux, và lỗi đã được sửa kể từ khi phát hành bài viết này.
Việc chuyển một tham số quá lớn có thể gây tràn của biến số nguyên được sử dụng để tính toán kích thước của dữ liệu đang được ghi; mã có kiểm tra tràn bộ đệm "if (len> PAGE_SIZE - 2 - size)", không hoạt động nếu giá trị kích thước lớn hơn 4094 do tràn số nguyên qua giới hạn dưới (tràn số nguyên, khi chuyển đổi 4096 - 2 - 4095 thành int unsigned, được 2147483648).
Lỗi này cho phép, khi truy cập hình ảnh FS được chế tạo đặc biệt, gây tràn bộ đệm và ghi đè dữ liệu nhân theo vùng bộ nhớ được cấp phát. Để khai thác lỗ hổng, cần có quyền CAP_SYS_ADMIN, tức là quyền quản trị viên.
Kể từ năm 2022, các đồng đội của chúng tôi đã quyết định tìm ngày 0 vào năm 2022. Chúng tôi không chắc chắn chính xác cách bắt đầu, nhưng vì nhóm của chúng tôi đã quen thuộc với các lỗ hổng nhân Linux nên chúng tôi quyết định chỉ mua một số máy chủ chuyên dụng. và chạy trình làm mờ syzkaller của Google. Vào ngày 6 tháng 22 lúc 30:0 tối theo giờ PST, chop6 đã nhận được báo cáo sau về lỗi KASAN trong inherit_parse_param: slab-out-of-bounds Viết trong inherit_parse_param. Có vẻ như syzbot đã phát hiện ra vấn đề này chỉ XNUMX ngày trước khi điều khiển Android, nhưng vấn đề không được xử lý và chúng tôi ngây thơ nghĩ rằng không ai khác nhận thấy.
Cuối cùng, điều đáng nói là vấn đề đã xuất hiện kể từ phiên bản hạt nhân Linux 5.1 và đã được giải quyết trong các bản cập nhật được phát hành vài ngày trước trong các phiên bản 5.16.2, 5.15.16, 5.10.93, 5.4.173.
bên cạnh đó bản cập nhật gói lỗ hổng bảo mật đã được phát hành para RHEL, Debian, mũ phớt và Ubuntu. Trong khi giải pháp vẫn chưa có sẵn trên Arch Linux, Gentoo, SUSE y mởSUSE.
Trong trường hợp này, có đề cập rằng như một giải pháp bảo mật cho các hệ thống không sử dụng cách ly vùng chứa, bạn có thể đặt giá trị của sysctl "user.max_user_namespaces" thành 0:
Nhà nghiên cứu xác định được vấn đề đã xuất bản một bản demo của một khai thác que cho phép chạy mã dưới dạng root trên Ubuntu 20.04 trong cấu hình mặc định. Nó được lên kế hoạch rằng mã khai thác được xuất bản trên GitHub trong vòng một tuần sau bản phân phối phát hành bản cập nhật sửa lỗ hổng bảo mật.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong liên kết theo dõi.
Tuy nhiên, một lý do khác để không chạm vào snap bằng gậy.