Daeth Qualys o hyd i ffordd i osgoi amddiffyniad malloc a di-dwbl i gychwyn trosglwyddiad rheolaeth i god gan ddefnyddio bregusrwydd yn OpenSSH 9.1 a oedd yn benderfynol o fod â risg isel o greu camfanteisio gweithredol. Ar yr un pryd, mae'r posibilrwydd o greu camfanteisio gweithredol yn parhau i fod yn gwestiwn mawr.
Achosir y bregusrwydd gan ryddhad dwbl cyn-ddilysu. Er mwyn creu amodau i'r bregusrwydd ddod i'r amlwg, mae'n ddigon newid baner cleient SSH i “SSH-2.0-FuTTYSH_9.1p1” (neu hen gleient SSH arall) er mwyn gosod y baneri “SSH_BUG_CURVE25519PAD” a “SSH_OLD_DHGEX”. Ar ôl gosod y baneri hyn, mae'r cof ar gyfer y byffer “options.kex_algorithms” yn cael ei ryddhau ddwywaith.
Roedd ymchwilwyr o Qualys, wrth drin y bregusrwydd, yn gallu ennill rheolaeth ar y gofrestr proseswyr “%rip”, sy'n cynnwys pwyntydd i'r cyfarwyddyd nesaf i'w weithredu. Mae'r dechneg ecsbloetio datblygedig yn eich galluogi i drosglwyddo rheolaeth i unrhyw bwynt yng ngofod cyfeiriad y broses sshd mewn amgylchedd OpenBSD 7.2 heb ei ddiweddaru, a gyflenwir yn ddiofyn ag OpenSSH 9.1.
Nodir mai dim ond cam cyntaf yr ymosodiad yw'r prototeip arfaethedig - i greu ecsbloetio gweithredol, mae angen osgoi'r mecanweithiau amddiffyn ASLR, NX a ROP, a dianc rhag ynysu blwch tywod, sy'n annhebygol. Er mwyn datrys y broblem o osgoi ASLR, NX a ROP, mae angen cael gwybodaeth am gyfeiriadau, y gellir ei gyflawni trwy nodi bregusrwydd arall sy'n arwain at ollwng gwybodaeth. Gall nam yn y broses rhiant breintiedig neu'r cnewyllyn helpu i adael y blwch tywod.
Ffynhonnell: opennet.ru