VFS уязвимост на ядрото на Linux, позволяваща ескалация на привилегии

Беше идентифицирана уязвимост (CVE-2022-0185) в API за контекст на файловата система, осигурен от ядрото на Linux, която може да позволи на локален потребител да получи root привилегии в системата. Изследователят, който идентифицира проблема, публикува демонстрация на експлойт, който позволява кодът да се изпълнява като root на Ubuntu 20.04 в конфигурацията по подразбиране. Планира се експлойт кодът да бъде публикуван в GitHub в рамките на една седмица, след като дистрибуциите пуснат актуализация, коригираща уязвимостта.

Уязвимостта съществува във функцията legacy_parse_param() във VFS и е причинена от липса на правилно валидиране на максималния размер на параметрите, предоставени на файлови системи, които не поддържат API за контекст на файловата система. Ако подадете твърде голям параметър, можете да предизвикате препълване на целочислената променлива, използвана за изчисляване на размера на записваните данни - кодът има проверка за препълване на буфера "if (len > PAGE_SIZE - 2 - size)", което прави не работи, ако стойността на size е по-голяма от 4094 поради целочислено препълване през долната граница (цялочислено препълване, когато прехвърлите 4096 - 2 - 4095 към unsigned int, получавате 2147483648).

Тази грешка позволява при достъп до специално проектирано FS изображение да предизвика препълване на буфера и да презапише данните на ядрото след разпределената област на паметта. За да се използва уязвимостта, са необходими права на CAP_SYS_ADMIN, т.е. администраторски права. Проблемът е, че непривилегирован потребител може да получи такива разрешения в изолиран контейнер, ако поддръжката за потребителски пространства от имена е активирана в системата. Например потребителските пространства от имена са активирани по подразбиране в Ubuntu и Fedora, но не са активирани в Debian и RHEL (освен ако не се използват платформи за изолиране на контейнери).

Проблемът се проявява от ядрото на Linux 5.1 и е коригиран във вчерашните актуализации 5.16.2, 5.15.16, 5.10.93, 5.4.173. Вече са пуснати актуализации на пакети за уязвимости за RHEL, Debian, Fedora, Ubuntu. Корекцията все още не е налична за Arch Linux, Gentoo, SUSE и openSUSE. Като защитно решение за системи, които не използват изолация на контейнери, можете да зададете стойността на sysctl "user.max_user_namespaces" на 0: echo "user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf # sysctl -p / и т.н./ sysctl.d/userns.conf

Източник: opennet.ru