Отдалечена уязвимост при внедряването на протокола TIPC в ядрото на Linux

Беше идентифицирана критична уязвимост (CVE-2021-43267) при внедряването на мрежовия протокол TIPC (Transparent Inter-process Communication), доставен в ядрото на Linux, който ви позволява дистанционно да изпълнявате своя код с привилегии на ядрото, като изпращате специално проектиран мрежов пакет. Опасността от проблема се смекчава от факта, че атаката изисква изрично активиране на поддръжката на TIPC в системата (зареждане и конфигуриране на модула на ядрото tipc.ko), което не се прави по подразбиране в неспециализирани Linux дистрибуции.

Протоколът TIPC се поддържа от ядрото на Linux 3.19, но кодът, водещ до уязвимостта, е включен в ядрото 5.10. Уязвимостта е коригирана в ядра 5.15.0, 5.10.77 и 5.14.16. Проблемът се появява и все още не е коригиран в Debian 11, Ubuntu 21.04/21.10, SUSE (във все още неиздадения клон SLE15-SP4), RHEL (все още не е подробно дали уязвимата корекция е пренесена обратно) и Fedora. Актуализацията на ядрото вече е пусната за Arch Linux. Дистрибуции с ядро, по-старо от 5.10, като Debian 10 и Ubuntu 20.04, не са засегнати от проблема.

Протоколът TIPC първоначално е разработен от Ericsson, предназначен да организира междупроцесна комуникация в клъстер и се активира главно в клъстерни възли. TIPC може да работи през Ethernet или UDP (мрежов порт 6118). При работа през Ethernet атаката може да се извърши от локалната мрежа, а при използване на UDP от глобалната мрежа, ако портът не е покрит със защитна стена. Атаката може да бъде извършена и от непривилегирован локален потребител на хоста. За да активирате TIPC, трябва да изтеглите модула на ядрото tipc.ko и да конфигурирате свързването към мрежовия интерфейс с помощта на netlink или помощната програма tipc.

Уязвимостта се проявява във функцията tipc_crypto_key_rc и се причинява от липсата на правилна проверка на съответствието между данните, посочени в заглавката, и действителния размер на данните при парсване на пакети с типа MSG_CRYPTO, използвани за получаване на ключове за криптиране от други възли в клъстера с цел последващо дешифриране на съобщения, изпратени от тези възли. Размерът на данните, копирани в паметта, се изчислява като разликата между стойностите на полетата с размера на съобщението и размера на заглавката, но без да се взема предвид действителният размер на името на алгоритъма за криптиране и съдържанието на ключ, предаден в съобщението. Предполага се, че размерът на името на алгоритъма е фиксиран, а за ключа допълнително се предава отделен атрибут с размера, като атакуващият може да посочи стойност в този атрибут, която се различава от действителната, което ще доведе до записване на опашката на съобщението извън разпределения буфер. struct tipc_aead_key { char alg_name[TIPC_AEAD_ALG_NAME]; unsigned int keylen; /* в байтове */ char key[]; };

Източник: opennet.ru