In u core Linux A quinta (1, 2, 3) vulnerabilità critica di l'ultime duie settimane hè stata identificata, chì permette à un utilizatore di aumentà i so privilegi in u sistema. Dui exploit funzionanti sò stati publicati: sshkeysign_pwn permette à un utilizatore senza privilegi di leghje u cuntenutu di e chjave SSH di l'ospite privatu /etc/ssh/ssh_host_*_key, è chage_pwn permette à un utilizatore senza privilegi di leghje u cuntenutu di u schedariu /etc/shadow chì cuntene l'hash di a password di l'utilizatore.
A vulnerabilità ùn era micca destinata à esse divulgata, ma un ricercatore di sicurezza hè statu capace di identificà a vulnerabilità, basatu annantu à una patch di kernel pruposta, chì permette a lettura di i fugliali accessibili solu à l'utilizatore root, cum'è /etc/shadow. U cambiamentu di u kernel hà aghjustatu a logica per l'usu di a funzione get_dumpable() in ptrace quandu si determinanu i livelli d'accessu in a funzione ptrace_may_access().
A vulnerabilità hè causata da una cundizione di corsa chì permette l'accessu senza privilegi à u descrittore di file pidfd dopu avè accessu à un file da un prucessu root suid. Trà l'apertura di u file è u reset di i privilegi in u prugramma suid (per esempiu, via a funzione setreuid), si verifica una situazione induve una applicazione chì esegue u prugramma root suid pò accede à un file apertu da u prugramma suid via u descrittore pidfd, ancu s'è i permessi di u file ùn u permettenu micca.
A finestra sfruttabile nasce perchè a funzione "__ptrace_may_access()" salta a verificazione di l'accessu à i fugliali se u campu task->mm hè impostu à NULL dopu à exit_mm() ma prima di a chjama di exit_files(). Attualmente, a chjama di sistema pidfd_getfd suppone chì l'ID utilizatore (uid) di u prucessu chì chjama currisponde à l'ID utilizatore autorizatu à accede à u fugliali. Vale a pena nutà chì stu prublema hè statu trattatu prima in u 2020, ma ferma senza riparazione.
In l'exploit chì ottiene u cuntenutu di /etc/shadow, l'attaccu cunsiste in u lanciu ripetutu di l'applicazione /usr/bin/chage via fork+execl cù a bandera suid root, chì legge u cuntenutu di /etc/shadow. Dopu chì u prucessu si bifurca, a chjama di sistema pidfd_open hè eseguita, è un ciclu di descrittori pidfd dispunibili hè realizatu via a chjama di sistema pidfd_getfd è a so verificazione via /proc/self/fd. In l'exploit sshkeysign_pwn, manipulazioni simili sò realizate cù u prugramma suid root ssh-keysign.
U prublema ùn hè ancu statu assignatu un identificatore CVE, è l'aghjurnamenti di u kernel è di u pacchettu ùn sò ancu stati publicati in e distribuzioni. A vulnerabilità ferma senza patch in i kernel 7.0.7, 6.18.30 è 6.12.88, publicati qualchì ora fà. À u mumentu di a scrittura, solu u patch pò esse adupratu. Si discute di pussibuli suluzioni alternative, cum'è l'impostazione di sysctl kernel.yama.ptrace_scope=3 o a rimuzione di a bandera root suid da l'eseguibili in u sistema (almenu da l'utilità ssh-keysign è chage aduprate in l'exploit).
Aghjurnamentu: A vulnerabilità hè stata assignata l'identificatore CVE-2026-46333. L'aghjurnamenti di u kernel sò stati generati. Linux 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207, è 5.10.256 cù correzioni di vulnerabilità. U statutu di e correzioni di vulnerabilità per queste distribuzioni pò esse valutatu nantu à queste pagine: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.
Source: opennet.ru
