Уязвимости в systemd, Flatpak, Samba, FreeRDP, Clamav, Node.js

Во входящей в состав systemd утилите systemd-tmpfiles выявлена уязвимость (CVE-2021-3997), позволяющая вызвать неконтролируемую рекурсию. Проблему можно использовать для организации отказа в обслуживании во время загрузки системы через создание в каталоге /tmp большого числа вложенных подкаталогов. Исправление пока доступно в форме патча. Обновления пакетов с устранением проблемы предложены в Ubuntu и SUSE, но пока недоступны в Debian, RHEL и Fedora (исправления на стадии тестирования).

При создании тысяч вложенных каталогов выполнение операции «systemd-tmpfiles —remove» приводит к аварийному завершению из-за исчерпания стека. Обычно утилита systemd-tmpfiles в одном вызове выполняет операции удаления и создания каталогов («systemd-tmpfiles —create —remove —boot —exclude-prefix=/dev»), при этом вначале выполняется удаление, а потом создание, т.е. крах на стадии удаления приведёт к тому, что не будут созданы важные для работы файлы, указанные в /usr/lib/tmpfiles.d/*.conf.

Также упоминается более опасный сценарий атаки на Ubuntu 21.04: так как из-за краха systemd-tmpfiles не создаётся файл /run/lock/subsys, а каталог /run/lock допускает запись для всех пользователей, атакующий может создать каталог /run/lock/subsys под своим идентификатором и через создание символических ссылок, пересекающихся с lock-файлами от системных процессов, организовать перезапись системных файлов.

Кроме того, можно отметить публикацию новых выпусков проектов Flatpak, Samba, FreeRDP, Clamav и Node.js, в которых устранены уязвимости:

• В корректирующих релизах инструментария для сборки самодостаточных пакетов Flatpak 1.10.6 и 1.12.3 устранены две уязвимости: Первая уязвимость (CVE-2021-43860) позволяет при загрузке пакета из непроверенного репозитория через манипуляции с метаданными скрыть отображение определённых расширенных полномочий в процессе установки. Вторая уязвимость (без CVE) позволяет во время сборки пакета командой «flatpak-builder —mirror-screenshots-url» создать каталоги в области ФС за пределами сборочного каталога.
• В обновлении Samba 4.13.16 устранена уязвимость (CVE-2021-43566), позволяющая клиенту через манипуляции с символическими ссылками на разделах SMB1 или NFS добиться создания на сервере каталога за пределами экспортируемой области ФС (проблема вызвана состоянием гонки и трудна для эксплуатации на практике, но теоретически возможна). Проблеме подвержены версии до 4.13.16.

  Также опубликован отчёт о ещё одной похожей уязвимости (CVE-2021-20316), позволяющей аутентифицированному клиенту через манипуляции с символическими ссылками прочитать или изменить содержимое файла или метаданных каталога в области ФС сервера за пределами экспортируемого раздела. Проблема устранена в выпуске 4.15.0, но затрагивает и прошлые ветки. При этом исправления для старых веток опубликованы не будут, так как старая архитектура Samba VFS не позволяет устранить проблему из-за привязки операций с метаданными к файловым путям (в Samba 4.15 слой VFS был полностью переделан). Опасность проблемы снижает то, что она достаточно сложна в эксплуатации и права доступа пользователя должны допускать чтение или запись в целевой файл или каталог.

• В выпуске проекта FreeRDP 2.5, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), устранены три проблемы с безопасностью (идентификаторы CVE не присвоены), которые могут привести к переполнению буфера при использовании некорректной локали, обработки специально оформленных параметров реестра и указании некорректно оформленного имени дополнения. Из изменений в новой версии отмечается поддержка библиотеки OpenSSL 3.0, реализация настройки TcpConnectTimeout, улучшение совместимости с LibreSSL и решение проблем с буфером обмена в окружениях на базе Wayland.
• В новых выпусках свободного антивирусного пакета ClamAV 0.103.5 и 0.104.2 устранена уязвимость CVE-2022-20698, связанная с некорректным чтением указателя и позволяющая удалённо вызвать крах процесса, если пакет скомпилирован с библиотекой libjson-c и в настройках включена опция CL_SCAN_GENERAL_COLLECT_METADATA (clamscan —gen-json).
• В обновлениях платформы Node.js 16.13.2, 14.18.3, 17.3.1 и 12.22.9 устранены четыре уязвимости: обход проверки сертификата при верификации сетевого соединения из-за некорректного преобразования SAN (Subject Alternative Names) в строковый формат (CVE-2021-44532); некорректная обработка перечисления нескольких значений в полях subject и issuer, которую можно использовать для обхода проверки упомянутых полей в сертификатах (CVE-2021-44533); обход ограничений, связанных с SAN-типом URI в сертификатах (CVE-2021-44531); недостаточная проверка входных данных в функции console.table(), которая может быть использована для назначения пустых строк цифровым ключам (CVE-2022-21824).

Источник: opennet.ru