Στον πυρήνα Linux Έχει εντοπιστεί ένα θέμα ευπάθειας παρόμοιο με τα Copy Fail, Dirty Frag και Fragnesia, το οποίο επιτρέπει σε έναν χρήστη χωρίς δικαιώματα να αποκτήσει δικαιώματα root αντικαθιστώντας δεδομένα στην προσωρινή μνήμη σελίδας. Το θέμα ευπάθειας έχει την κωδική ονομασία DirtyDecrypt (το πρόβλημα αναφέρεται επίσης ως DirtyCBC). Διατίθεται ένα πρωτότυπο exploit.
Η περιγραφή του exploit δεν αναφέρει κάποιο αναγνωριστικό CVE, αναφέροντας μόνο ότι οι ερευνητές ανακάλυψαν το πρόβλημα στις 9 Μαΐου και στη συνέχεια το ανέφεραν στους προγραμματιστές του πυρήνα, οι οποίοι απάντησαν ότι η ανακάλυψή τους αναπαρήγαγε μια άλλη αναφορά σχετικά με ένα ήδη διορθωμένο κενό ασφαλείας. Δεδομένου ότι μια ενημέρωση κώδικα με τη διόρθωση περιλαμβάνεται ήδη στον πυρήνα, οι ερευνητές αποφάσισαν να δημοσιεύσουν το exploit που ανέπτυξαν. Κρίνοντας από την περιγραφή του exploit, εκμεταλλεύεται το κενό ασφαλείας CVE-2026-31635, μια διόρθωση για την οποία έγινε δεκτή στον πυρήνα τον Απρίλιο και συμπεριλήφθηκε στον κλάδο 7.0.0 και στην έκδοση 6.18.23 που κυκλοφόρησε στις 18 Απριλίου. Το πρόβλημα υπάρχει από την έκδοση 6.16 του πυρήνα.
Όπως και με τη σειρά ευπαθειών Dirty Frag, υπάρχει μια νέα ευπάθεια στο πρόγραμμα οδήγησης RxRPC, το οποίο υλοποιεί την οικογένεια υποδοχών AF_RXRPC και το πρωτόκολλο RPC με το ίδιο όνομα, που εκτελείται μέσω UDP. Το πρόβλημα προκαλείται από ένα σφάλμα στον έλεγχο μεγέθους δεδομένων στη συνάρτηση rxgk_verify_response(). Αντί να ελεγχθεί το "if (auth_len > len)", ο κώδικας καθόρισε το "if (auth_len < len)", με αποτέλεσμα δεδομένα μεγαλύτερα από το επιτρεπόμενο να διαβιβάζονται στη συνάρτηση rxgk_decrypt_skb(). Όταν εκτελέστηκε το rxgk_decrypt_skb(), τα δεδομένα αποκρυπτογραφήθηκαν εισάγοντας απευθείας τις αλλαγές στην προσωρινή μνήμη σελίδας για να αποφευχθεί η περιττή αποθήκευση στο buffer. Λόγω του εσφαλμένου ελέγχου μεγέθους, ήταν δυνατή η αντικατάσταση δεδομένων στην προσωρινή μνήμη σελίδας σε μια καθορισμένη μετατόπιση.
Η εκμετάλλευση της ευπάθειας συνίσταται στην ανάγνωση ενός αρχείου προγράμματος με τη σημαία root suid (για να διασφαλιστεί η τοποθέτησή του στην προσωρινή μνήμη σελίδας) και στην αντικατάσταση μέρους του κώδικα προγράμματος στην προσωρινή μνήμη σελίδας με κώδικα για την εκκίνηση του /usr/bin/sh. Η επακόλουθη εκτέλεση του προγράμματος θα έχει ως αποτέλεσμα τη φόρτωση του τροποποιημένου αντιγράφου από την προσωρινή μνήμη σελίδας στη μνήμη, αντί για το αρχικό εκτελέσιμο αρχείο από τη μονάδα δίσκου. Η εκμετάλλευση υποστηρίζει τη χρήση των "/usr/bin/su", "/bin/su", "/usr/bin/mount", "/usr/bin/passwd" και "/usr/bin/chsh".
Για να εκμεταλλευτείτε αυτό το θέμα ευπάθειας, η επιλογή CONFIG_RXGK πρέπει να είναι ενεργοποιημένη κατά την κατασκευή του πυρήνα και η ενότητα πυρήνα rxrpc.ko πρέπει να είναι διαθέσιμη για αυτόματη φόρτωση (δεν βασίζεται σε ορισμένα συστήματα). Η κατάσταση των διορθώσεων ευπαθειών στις διανομές μπορεί να αξιολογηθεί σε αυτές τις σελίδες: Debian, Ubuntu, SUSE/openSUSE, RHEL, Arch, Fedora. Ως λύση, μπορείτε να αποκλείσετε τη φόρτωση της ενότητας πυρήνα rxrpc:
sh -c "printf 'εγκατάσταση rxrpc /bin/false\n' > /etc/modprobe.d/dirtydecrypt.conf; rmmod rxrpc 2>/dev/null; true"
Επιπλέον, μπορείτε να σημειώσετε τη δημοσίευση στη λίστα αλληλογραφίας των προγραμματιστών του πυρήνα. Linux Τα patch απενεργοποιούν πλήρως τις βελτιστοποιήσεις στο crypto API (AF_ALG) που χρησιμοποιούν άμεση πρόσβαση στην προσωρινή μνήμη σελίδας κατά την αποκρυπτογράφηση με τους αλγόριθμους "skcipher" και "aead". Αυτές οι βελτιστοποιήσεις εξαλείφουν την περιττή αποθήκευση δεδομένων στο buffer, αλλά εισάγουν τον κίνδυνο εισαγωγής σοβαρών ευπαθειών. Η απενεργοποίησή τους αναμένεται να οδηγήσει σε μια μικρή μόνο μείωση απόδοσης λόγω της πρόσθετης λειτουργίας αντιγραφής σε ξεχωριστό buffer. Τα patches έχουν γίνει αποδεκτά από τον συντηρητή του υποσυστήματος crypto API και περιλαμβάνονται στον κλάδο "cryptodev", όπου αναπτύσσονται λειτουργίες για συμπερίληψη σε μελλοντικές εκδόσεις πυρήνα. Linux.
Πηγή: opennet.ru
