የተጋላጭነት ዝርዝሮች (CVE-2022-0492) በሊኑክስ ከርነል ውስጥ የሚገኙትን የ cgroups v1 ሀብት ገደብ ዘዴን በመተግበር ላይ ያሉት የተጋላጭነት ዝርዝሮች ተገለጡ። ችግሩ ከሊኑክስ ከርነል 2.6.24 ጀምሮ የነበረ እና በከርነል ልቀቶች 5.16.12፣ 5.15.26፣ 5.10.97፣ 5.4.177፣ 4.19.229፣ 4.14.266 እና 4.9.301 ተስተካክሏል። በእነዚህ ገፆች ላይ የጥቅል ማሻሻያ ህትመቶችን መከተል ትችላለህ፡ Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
ተጋላጭነቱ በተለቀቀው_ኤጀንት ፋይል ተቆጣጣሪው ላይ ባለው የሎጂክ ስህተት ምክንያት ተቆጣጣሪውን ሙሉ ልዩ መብቶችን ሲይዝ ተገቢውን ፍተሻ ማድረግ ባለመቻሉ ነው። የመልቀቅ_ወኪሉ ፋይል በቡድን ውስጥ ያለ ሂደት ሲቋረጥ በከርነል የሚፈጸመውን ፕሮግራም ለመግለጽ ይጠቅማል። ይህ ፕሮግራም እንደ ስርወ እና በሁሉም "ችሎታዎች" በስር ስም ቦታ ላይ ይሰራል። የአስተዳዳሪው ብቻ የመልቀቂያ_ወኪል መቼት መዳረሻ አለው ተብሎ ይታሰብ ነበር፣ ነገር ግን እንደ እውነቱ ከሆነ ቼኮች የስር ተጠቃሚውን መዳረሻ ለመፍቀድ ብቻ የተገደቡ ናቸው፣ ይህም ቅንብሩን ከመያዣው ውስጥ ወይም በአስተዳዳሪ መብቶች በሌለበት ስር ተጠቃሚ (CAP_SYS_ADMIN) መለወጥ አላስቀረም። ).
ከዚህ ቀደም እንዲህ ዓይነቱ ባህሪ እንደ ተጋላጭነት አይታወቅም ነበር, ነገር ግን የተጠቃሚ ስም ቦታዎች (የተጠቃሚ ስም ቦታዎች) መምጣት ሁኔታው ተለውጧል, ይህም ከዋናው ተጠቃሚ ጋር በማይደራረቡ መያዣዎች ውስጥ የተለየ ስርወ ተጠቃሚዎችን ለመፍጠር ያስችልዎታል. ዋና አካባቢ. በዚህ መሠረት ለጥቃት የመልቀቅ ወኪልዎን በተለየ የተጠቃሚ መታወቂያ ቦታ ውስጥ የራሱ ስር ተጠቃሚ ባለው ኮንቴይነር ውስጥ ማገናኘት በቂ ነው ፣ ይህም ሂደቱን ከጨረሰ በኋላ ከዋናው አካባቢ ሙሉ መብቶች ጋር ይከናወናል ።
በነባሪ፣ ግሩፕfs በኮንቴይነር ውስጥ በንባብ-ብቻ ተጭነዋል፣ ነገር ግን የCAP_SYS_ADMIN መብቶች ካሎት ወይም ያልተጋራውን የስርዓት ጥሪ ተጠቅመው የተለየ የተጠቃሚ ስም ቦታ ያለው ጎጆ መያዣ በመፍጠር እነዚህን የውሸት ምስሎች በፅሁፍ ሁነታ ላይ መጫን ምንም ችግር የለበትም። CAP_SYS_ADMIN መብቶች ለተፈጠረ መያዣ ይገኛሉ።
በገለልተኛ ኮንቴይነር ውስጥ የስር መብቶች ካሉዎት ወይም ያለ አዲስ_privs ባንዲራ ኮንቴይነሩን በሚያስኬዱበት ጊዜ ጥቃቱ ሊፈጸም ይችላል፣ ይህም ተጨማሪ መብቶችን ማግኘት ይከለክላል። ስርዓቱ የነቃ የተጠቃሚ ስም ቦታዎች ድጋፍ ሊኖረው ይገባል (በኡቡንቱ እና ፌዶራ በነባሪ የነቃ ነገር ግን በዴቢያን እና RHEL ውስጥ ያልነቃ) እና የስር ግሩፕ v1 መዳረሻ ሊኖረው ይገባል (ለምሳሌ Docker በ RDMA ስብስብ ስር ያሉ መያዣዎችን ይሰራል)። የ CAP_SYS_ADMIN ልዩ መብቶች ካሎት ጥቃቱ ሊደርስ ይችላል፣ በዚህ ጊዜ የተጠቃሚ ስም ቦታዎችን መደገፍ እና የ cgroup v1 root ተዋረድ ማግኘት አያስፈልግም።
ከተገለለ ኮንቴይነር ከማምለጥ በተጨማሪ ተጋላጭነቱ በስር ተጠቃሚ የሚጀመሩ ሂደቶችን ያለ "ችሎታ" ወይም ማንኛውም ተጠቃሚ የCAP_DAC_OVERRIDE መብቶችን ይፈቅዳል (ጥቃቱ የፋይሉን /sys/fs/cgroup/*/መለቀቅ_ኤጀንት መድረስን ይጠይቃል)ይህም ነው። በስር ባለቤትነት የተያዘ) ሁሉንም የስርዓት "ችሎታዎች" መዳረሻ ለማግኘት.
ሴክኮምፕ unshare() የስርዓት ጥሪ እንዳይደርስ ስለሚያግድ እና አፕአርሞር እና SELinux በፅሁፍ ሁነታ ላይ ሴኮምፕ፣ አፕአርሞር ወይም SELinux ጥበቃ ዘዴዎችን ሲጠቀሙ ተጋላጭነቱን መጠቀም እንደማይቻል ተጠቁሟል።
ምንጭ: opennet.ru