ΠΠ΅ΡΠ΅ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π² ΡΠ΄ΡΠΎΡΠΎ Π½Π° Linux ΠΏΡΠΈ Π²Π½Π΅Π΄ΡΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° ΡΠ°ΠΉΠ»ΠΎΠ²Π°ΡΠ° ΡΠΈΡΡΠ΅ΠΌΠ° OverlayFS (CVE-2023-0386), ΠΊΠΎΡΡΠΎ ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° Π·Π° ΠΏΠΎΠ»ΡΡΠ°Π²Π°Π½Π΅ Π½Π° root Π΄ΠΎΡΡΡΠΏ Π½Π° ΡΠΈΡΡΠ΅ΠΌΠΈ, ΠΊΠΎΠΈΡΠΎ ΠΈΠΌΠ°Ρ ΠΈΠ½ΡΡΠ°Π»ΠΈΡΠ°Π½Π° ΠΏΠΎΠ΄ΡΠΈΡΡΠ΅ΠΌΠ° FUSE ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π°Ρ ΠΌΠΎΠ½ΡΠΈΡΠ°Π½Π΅ Π½Π° Π΄ΡΠ»ΠΎΠ²Π΅ OverlayFS ΠΎΡ Π½Π΅ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡΠΎΠ²Π°Π½ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π» (Π·Π°ΠΏΠΎΡΠ²Π°ΠΉΠΊΠΈ Ρ ΡΠ΄ΡΠΎΡΠΎ Π½Π° Linux 5.11 Ρ Π²ΠΊΠ»ΡΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²ΠΎ ΠΎΡ ΠΈΠΌΠ΅Π½Π° Π½Π° Π½Π΅ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡΠΎΠ²Π°Π½ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»). ΠΡΠΎΠ±Π»Π΅ΠΌΡΡ Π΅ ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°Π½ Π² ΠΊΠ»ΠΎΠ½Π° Π½Π° ΡΠ΄ΡΠΎΡΠΎ 6.2. ΠΡΠ±Π»ΠΈΠΊΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠΈ Π² Π΄ΠΈΡΡΡΠΈΠ±ΡΡΠΈΠΈ ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΠΏΡΠΎΡΠ»Π΅Π΄ΠΈ Π½Π° ΡΡΡΠ°Π½ΠΈΡΠΈΡΠ΅: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
ΠΡΠ°ΠΊΠ°ΡΠ° ΡΠ΅ ΠΈΠ·Π²ΡΡΡΠ²Π° ΡΡΠ΅Π· ΠΊΠΎΠΏΠΈΡΠ°Π½Π΅ Π½Π° ΡΠ°ΠΉΠ»ΠΎΠ²Π΅ Ρ ΡΠ»Π°Π³ΠΎΠ²Π΅ setgid/setuid ΠΎΡ Π΄ΡΠ», ΠΌΠΎΠ½ΡΠΈΡΠ°Π½ Π² ΡΠ΅ΠΆΠΈΠΌ nosuid, ΠΊΡΠΌ Π΄ΡΠ» OverlayFS, ΠΊΠΎΠΉΡΠΎ ΠΈΠΌΠ° ΡΠ»ΠΎΠΉ, ΡΠ²ΡΡΠ·Π°Π½ Ρ Π΄ΡΠ»Π°, ΠΊΠΎΠΉΡΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° ΠΈΠ·ΠΏΡΠ»Π½Π΅Π½ΠΈΠ΅ΡΠΎ Π½Π° suid ΡΠ°ΠΉΠ»ΠΎΠ²Π΅. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΠΏΠΎΠ΄ΠΎΠ±Π½Π° Π½Π° ΠΏΡΠΎΠ±Π»Π΅ΠΌΠ° CVE-2021-3847, ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ ΠΏΡΠ΅Π· 2021 Π³., Π½ΠΎ ΡΠ΅ ΡΠ°Π·Π»ΠΈΡΠ°Π²Π° Ρ ΠΏΠΎ-Π½ΠΈΡΠΊΠΈ ΠΈΠ·ΠΈΡΠΊΠ²Π°Π½ΠΈΡ Π·Π° Π΅ΠΊΡΠΏΠ»ΠΎΠ°ΡΠ°ΡΠΈΡ - ΡΡΠ°ΡΠΈΡΡ ΠΏΡΠΎΠ±Π»Π΅ΠΌ ΠΈΠ·ΠΈΡΠΊΠ²Π°ΡΠ΅ ΠΌΠ°Π½ΠΈΠΏΡΠ»ΠΈΡΠ°Π½Π΅ Ρ xattrs, ΠΊΠΎΠΈΡΠΎ ΡΠ° ΠΎΠ³ΡΠ°Π½ΠΈΡΠ΅Π½ΠΈ Π΄ΠΎ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ Π½Π° ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΡΠΊΠΈ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²Π° ΠΎΡ ΠΈΠΌΠ΅Π½Π° (ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΡΠΊΠΎ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²ΠΎ ΠΎΡ ΠΈΠΌΠ΅Π½Π°), Π° Π½ΠΎΠ²ΠΈΡΡ ΠΏΡΠΎΠ±Π»Π΅ΠΌ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° Π±ΠΈΡΠΎΠ²Π΅ setgid /setuid, ΠΊΠΎΠΈΡΠΎ Π½Π΅ ΡΠ΅ ΠΎΠ±ΡΠ°Π±ΠΎΡΠ²Π°Ρ ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΎ Π² ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΡΠΊΠΎΡΠΎ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²ΠΎ ΠΎΡ ΠΈΠΌΠ΅Π½Π°.
ΠΠ»Π³ΠΎΡΠΈΡΡΠΌ Π·Π° Π°ΡΠ°ΠΊΠ°:
- Π‘ ΠΏΠΎΠΌΠΎΡΡΠ° Π½Π° ΠΏΠΎΠ΄ΡΠΈΡΡΠ΅ΠΌΠ°ΡΠ° FUSE ΡΠ΅ ΠΌΠΎΠ½ΡΠΈΡΠ° ΡΠ°ΠΉΠ»ΠΎΠ²Π° ΡΠΈΡΡΠ΅ΠΌΠ°, Π² ΠΊΠΎΡΡΠΎ ΠΈΠΌΠ° ΠΈΠ·ΠΏΡΠ»Π½ΠΈΠΌ ΡΠ°ΠΉΠ», ΡΠΎΠ±ΡΡΠ²Π΅Π½ΠΎΡΡ Π½Π° root ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»Ρ Ρ ΡΠ»Π°Π³ΠΎΠ²Π΅ΡΠ΅ setuid / setgid, Π΄ΠΎΡΡΡΠΏΠ΅Π½ Π·Π° Π·Π°ΠΏΠΈΡ Π½Π° Π²ΡΠΈΡΠΊΠΈ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΠΈ. ΠΡΠΈ ΠΌΠΎΠ½ΡΠΈΡΠ°Π½Π΅ FUSE Π½Π°ΡΡΡΠΎΠΉΠ²Π° ΡΠ΅ΠΆΠΈΠΌΠ° Π½Π° "nosuid".
- ΠΡΠ΅ΠΊΡΠ°ΡΠ΅ΡΠ΅ ΡΠΏΠΎΠ΄Π΅Π»ΡΠ½Π΅ΡΠΎ Π½Π° ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΡΠΊΠΈ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²Π° ΠΎΡ ΠΈΠΌΠ΅Π½Π° ΠΈ ΡΠΎΡΠΊΠΈ Π½Π° ΠΌΠΎΠ½ΡΠΈΡΠ°Π½Π΅ (ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΡΠΊΠΎ/ΠΌΠΎΠ½ΡΠΈΡΠ°Π½ΠΎ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²ΠΎ ΠΎΡ ΠΈΠΌΠ΅Π½Π°).
- OverlayFS ΡΠ΅ ΠΌΠΎΠ½ΡΠΈΡΠ° Ρ FS, ΡΡΠ·Π΄Π°Π΄Π΅Π½ ΠΏΡΠ΅Π΄ΠΈ ΡΠΎΠ²Π° Π²ΡΠ² FUSE ΠΊΠ°ΡΠΎ Π΄ΠΎΠ»Π½ΠΈΡ ΡΠ»ΠΎΠΉ ΠΈ Π³ΠΎΡΠ½ΠΈΡ ΡΠ»ΠΎΠΉ, Π±Π°Π·ΠΈΡΠ°Π½ Π½Π° Π·Π°ΠΏΠΈΡΠ²Π°Π΅ΠΌΠ°ΡΠ° Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡ. ΠΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡΡΠ° Π½Π° Π³ΠΎΡΠ½ΠΈΡ ΡΠ»ΠΎΠΉ ΡΡΡΠ±Π²Π° Π΄Π° ΡΠ΅ Π½Π°ΠΌΠΈΡΠ° Π²ΡΠ² ΡΠ°ΠΉΠ»ΠΎΠ²Π° ΡΠΈΡΡΠ΅ΠΌΠ°, ΠΊΠΎΡΡΠΎ Π½Π΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° ΡΠ»Π°Π³Π° "nosuid", ΠΊΠΎΠ³Π°ΡΠΎ Π΅ ΠΌΠΎΠ½ΡΠΈΡΠ°Π½Π°.
- ΠΠ° suid ΡΠ°ΠΉΠ» Π² Π΄ΡΠ»Π° FUSE ΠΏΠΎΠΌΠΎΡΠ½Π°ΡΠ° ΠΏΡΠΎΠ³ΡΠ°ΠΌΠ° Π·Π° Π΄ΠΎΠΊΠΎΡΠ²Π°Π½Π΅ ΠΏΡΠΎΠΌΠ΅Π½Ρ Π²ΡΠ΅ΠΌΠ΅ΡΠΎ Π·Π° ΠΌΠΎΠ΄ΠΈΡΠΈΠΊΠ°ΡΠΈΡ, ΠΊΠΎΠ΅ΡΠΎ Π²ΠΎΠ΄ΠΈ Π΄ΠΎ ΠΊΠΎΠΏΠΈΡΠ°Π½Π΅ΡΠΎ ΠΌΡ Π² Π³ΠΎΡΠ½ΠΈΡ ΡΠ»ΠΎΠΉ Π½Π° OverlayFS.
- ΠΡΠΈ ΠΊΠΎΠΏΠΈΡΠ°Π½Π΅ ΡΠ΄ΡΠΎΡΠΎ Π½Π΅ ΠΏΡΠ΅ΠΌΠ°Ρ Π²Π° ΡΠ»Π°Π³ΠΎΠ²Π΅ΡΠ΅ setgid/setuid, ΠΊΠΎΠ΅ΡΠΎ ΠΊΠ°ΡΠ° ΡΠ°ΠΉΠ»Π° Π΄Π° ΡΠ΅ ΠΏΠΎΡΠ²ΠΈ Π½Π° Π΄ΡΠ», ΠΊΠΎΠΉΡΠΎ ΠΌΠΎΠΆΠ΅ Π΄Π° Π±ΡΠ΄Π΅ ΠΎΠ±ΡΠ°Π±ΠΎΡΠ΅Π½ ΠΎΡ setgid/setuid.
- ΠΠ° Π΄Π° ΠΏΠΎΠ»ΡΡΠΈΡΠ΅ root ΠΏΡΠ°Π²Π°, Π΄ΠΎΡΡΠ°ΡΡΡΠ½ΠΎ Π΅ Π΄Π° ΡΡΠ°ΡΡΠΈΡΠ°ΡΠ΅ ΡΠ°ΠΉΠ»Π° Ρ ΡΠ»Π°Π³ΠΎΠ²Π΅ΡΠ΅ setgid/setuid ΠΎΡ Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡΡΠ°, ΠΏΡΠΈΠΊΡΠ΅ΠΏΠ΅Π½Π° ΠΊΡΠΌ Π³ΠΎΡΠ½ΠΈΡ ΡΠ»ΠΎΠΉ Π½Π° OverlayFS.
ΠΡΠ²Π΅Π½ ΡΠΎΠ²Π° ΠΌΠΎΠΆΠ΅ΠΌ Π΄Π° ΠΎΡΠ±Π΅Π»Π΅ΠΆΠΈΠΌ ΡΠ°Π·ΠΊΡΠΈΠ²Π°Π½Π΅ΡΠΎ ΠΎΡ ΠΈΠ·ΡΠ»Π΅Π΄ΠΎΠ²Π°ΡΠ΅Π»ΠΈ ΠΎΡ Π΅ΠΊΠΈΠΏΠ° Π½Π° Google Project Zero Π½Π° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π·Π° ΡΡΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ, ΠΊΠΎΠΈΡΠΎ ΡΠ° ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°Π½ΠΈ Π² ΠΎΡΠ½ΠΎΠ²Π½ΠΈΡ ΠΊΠ»ΠΎΠ½ Π½Π° ΡΠ΄ΡΠΎΡΠΎ Π½Π° Linux 5.15, Π½ΠΎ Π½Π΅ ΡΠ° ΠΏΡΠ΅Π½Π΅ΡΠ΅Π½ΠΈ Π² ΠΏΠ°ΠΊΠ΅ΡΠΈ Π½Π° ΡΠ΄ΡΠΎΡΠΎ ΠΎΡ RHEL 8.x/9.x ΠΈ CentOS ΠΏΠΎΡΠΎΠΊ 9.
- CVE-2023-1252 - ΠΠΎΡΡΡΠΏ Π΄ΠΎ Π²Π΅ΡΠ΅ ΠΎΡΠ²ΠΎΠ±ΠΎΠ΄Π΅Π½Π° ΠΎΠ±Π»Π°ΡΡ Π½Π° ΠΏΠ°ΠΌΠ΅ΡΡΠ° Π² ΡΡΡΡΠΊΡΡΡΠ°ΡΠ° ovl_aio_req, Π΄ΠΎΠΊΠ°ΡΠΎ ΠΈΠ·ΠΏΡΠ»Π½ΡΠ²Π°ΡΠ΅ Π½ΡΠΊΠΎΠ»ΠΊΠΎ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΈ Π΅Π΄Π½ΠΎΠ²ΡΠ΅ΠΌΠ΅Π½Π½ΠΎ Π² OverlayFS, ΡΠ°Π·ΠΏΠΎΠ»ΠΎΠΆΠ΅Π½ Π²ΡΡΡ Ρ ΡΠ°ΠΉΠ»ΠΎΠ²Π°ΡΠ° ΡΠΈΡΡΠ΅ΠΌΠ° Ext4. ΠΠΎΡΠ΅Π½ΡΠΈΠ°Π»Π½ΠΎ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π΄Π° ΡΠ²Π΅Π»ΠΈΡΠΈΡΠ΅ ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈΡΠ΅ ΡΠΈ Π² ΡΠΈΡΡΠ΅ΠΌΠ°ΡΠ°.
- CVE-2023-0590 - ΠΡΠ΅ΠΏΡΠ°ΡΠΊΠ° ΠΊΡΠΌ Π²Π΅ΡΠ΅ ΠΎΡΠ²ΠΎΠ±ΠΎΠ΄Π΅Π½Π° ΠΎΠ±Π»Π°ΡΡ ΠΎΡ ΠΏΠ°ΠΌΠ΅ΡΡΠ° Π²ΡΠ² ΡΡΠ½ΠΊΡΠΈΡΡΠ° qdisc_graft(). ΠΡΠ΅Π΄ΠΏΠΎΠ»Π°Π³Π° ΡΠ΅, ΡΠ΅ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΡΡΠ° Π΅ ΠΎΠ³ΡΠ°Π½ΠΈΡΠ΅Π½Π° Π΄ΠΎ ΠΏΡΠ΅ΠΊΡΡΠ²Π°Π½Π΅.
- CVE-2023-1249 - ΠΠΎΡΡΡΠΏ Π΄ΠΎ Π²Π΅ΡΠ΅ ΠΎΡΠ²ΠΎΠ±ΠΎΠ΄Π΅Π½Π° ΠΎΠ±Π»Π°ΡΡ ΠΎΡ ΠΏΠ°ΠΌΠ΅ΡΡΠ° Π² ΠΊΠΎΠ΄Π° Π·Π° Π²ΡΠ²Π΅ΠΆΠ΄Π°Π½Π΅ Π½Π° coredump ΠΏΠΎΡΠ°Π΄ΠΈ Π»ΠΈΠΏΡΠ²Π°ΡΠΎ mmap_lock ΠΈΠ·Π²ΠΈΠΊΠ²Π°Π½Π΅ Π²ΡΠ² file_files_note. ΠΡΠ΅Π΄ΠΏΠΎΠ»Π°Π³Π° ΡΠ΅, ΡΠ΅ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΡΡΠ° Π΅ ΠΎΠ³ΡΠ°Π½ΠΈΡΠ΅Π½Π° Π΄ΠΎ ΠΏΡΠ΅ΠΊΡΡΠ²Π°Π½Π΅.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: opennet.ru