cgroups v1-এ দুর্বলতা বিচ্ছিন্ন ধারক থেকে প্রস্থান করার অনুমতি দেয়

লিনাক্স কার্নেলে cgroups v2022 রিসোর্স লিমিটেশন মেকানিজমের বাস্তবায়নে একটি দুর্বলতার (CVE-0492-1) বিশদ বিবরণ, যা বিচ্ছিন্ন কন্টেইনার থেকে বাঁচতে ব্যবহার করা যেতে পারে, প্রকাশ করা হয়েছে। সমস্যাটি লিনাক্স কার্নেল 2.6.24 থেকে উপস্থিত রয়েছে এবং কার্নেল রিলিজ 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 এবং 4.9.301 এ স্থির করা হয়েছে। আপনি এই পৃষ্ঠাগুলিতে বিতরণে প্যাকেজ আপডেটের প্রকাশনাগুলি অনুসরণ করতে পারেন: ডেবিয়ান, সুস, উবুন্টু, আরএইচইএল, ফেডোরা, জেন্টু, আর্চ লিনাক্স।

রিলিজ_এজেন্ট ফাইল হ্যান্ডলারে একটি লজিক ত্রুটির কারণে দুর্বলতা হয়েছে যা হ্যান্ডলারটি সম্পূর্ণ সুবিধা সহ চালানোর সময় সঠিক পরীক্ষা করতে ব্যর্থ হয়। রিলিজ_এজেন্ট ফাইলটি একটি cgroup-এ একটি প্রক্রিয়া সমাপ্ত হলে কার্নেল দ্বারা নির্বাহ করা হবে তা নির্ধারণ করতে ব্যবহৃত হয়। এই প্রোগ্রামটি রুট হিসাবে এবং রুট নামস্থানে সমস্ত "ক্ষমতা" সহ চলে। এটা ধরে নেওয়া হয়েছিল যে রিলিজ_এজেন্ট সেটিংসে শুধুমাত্র অ্যাডমিনিস্ট্রেটরের অ্যাক্সেস ছিল, কিন্তু বাস্তবে চেকগুলি রুট ব্যবহারকারীকে অ্যাক্সেস দেওয়ার জন্য সীমাবদ্ধ ছিল, যা কন্টেইনার থেকে বা প্রশাসকের অধিকার ছাড়াই রুট ব্যবহারকারীর দ্বারা সেটিং পরিবর্তন করা বাদ দেয়নি (CAP_SYS_ADMIN )

পূর্বে, এই ধরনের বৈশিষ্ট্য একটি দুর্বলতা হিসাবে অনুভূত হত না, কিন্তু ব্যবহারকারীর নামস্থান (ব্যবহারকারীর নামস্থান) আবির্ভাবের সাথে পরিস্থিতি পরিবর্তিত হয়েছে, যা আপনাকে কন্টেইনারগুলিতে পৃথক রুট ব্যবহারকারী তৈরি করতে দেয় যা রুট ব্যবহারকারীর সাথে ওভারল্যাপ করে না। প্রধান পরিবেশ। তদনুসারে, একটি আক্রমণের জন্য, আপনার রিলিজ_এজেন্ট হ্যান্ডলারকে একটি কন্টেইনারে সংযোগ করাই যথেষ্ট যার নিজস্ব রুট ব্যবহারকারী রয়েছে একটি পৃথক ব্যবহারকারী আইডি স্পেসে, যা প্রক্রিয়াটি সম্পূর্ণ করার পরে, মূল পরিবেশের সম্পূর্ণ সুযোগ-সুবিধা সহ কার্যকর করা হবে।

ডিফল্টরূপে, cgroupfs শুধুমাত্র-পঠন মোডে একটি কন্টেইনারে মাউন্ট করা হয়, কিন্তু আপনার যদি CAP_SYS_ADMIN অধিকার থাকে বা আনশেয়ার সিস্টেম কল ব্যবহার করে একটি পৃথক ব্যবহারকারীর নামস্থান সহ একটি নেস্টেড কন্টেইনার তৈরি করে লিখতে মোডে এই সিউডফগুলি পুনরায় মাউন্ট করতে কোন সমস্যা নেই, যেখানে CAP_SYS_ADMIN অধিকার তৈরি কন্টেইনারের জন্য উপলব্ধ।

আপনার যদি কোনো বিচ্ছিন্ন কন্টেইনারে রুট সুবিধা থাকে বা no_new_privs পতাকা ছাড়া কোনো কন্টেইনার চালানোর সময় আক্রমণ করা যেতে পারে, যা অতিরিক্ত বিশেষাধিকার প্রাপ্তি নিষিদ্ধ করে। সিস্টেমে অবশ্যই ব্যবহারকারীর নেমস্পেস সক্রিয় (উবুন্টু এবং ফেডোরাতে ডিফল্টরূপে সক্রিয়, কিন্তু ডেবিয়ান এবং RHEL-এ সক্রিয় নয়) এবং রুট cgroup v1-এ অ্যাক্সেস থাকতে হবে (উদাহরণস্বরূপ, ডকার রুট RDMA cgroup-এ কন্টেইনার চালায়)। আপনার যদি CAP_SYS_ADMIN বিশেষাধিকার থাকে তবে আক্রমণটিও সম্ভব, এই ক্ষেত্রে ব্যবহারকারীর নামস্থানের জন্য সমর্থন এবং cgroup v1 রুট অনুক্রমের অ্যাক্সেসের প্রয়োজন নেই।

একটি বিচ্ছিন্ন কন্টেইনার থেকে পালানোর পাশাপাশি, দুর্বলতা রুট ব্যবহারকারীর দ্বারা "ক্ষমতা" বা CAP_DAC_OVERRIDE অধিকার সহ কোনো ব্যবহারকারীর দ্বারা চালু করা প্রক্রিয়াগুলিকেও অনুমতি দেয় (আক্রমণের জন্য ফাইল /sys/fs/cgroup/*/release_agent, যা রুট দ্বারা মালিকানাধীন) সমস্ত সিস্টেমিক "ক্ষমতা" অ্যাক্সেস পেতে।

এটা উল্লেখ্য যে Seccomp, AppArmor বা SELinux সুরক্ষা পদ্ধতি ব্যবহার করার সময় কনটেইনারগুলির অতিরিক্ত বিচ্ছিন্নতার জন্য দুর্বলতা কাজে লাগানো যাবে না, যেহেতু Seccomp unshare() সিস্টেম কলে অ্যাক্সেস ব্লক করে, এবং AppArmor এবং SELinux লেখার মোডে cgroupfগুলি মাউন্ট করার অনুমতি দেয় না।

উত্স: opennet.ru