Aithníodh leochaileacht (CVE-2021-4122) sa phacáiste Cryptsetup, a úsáidtear chun deighiltí diosca a chriptiú i Linux, a cheadaíonn criptiú a dhíchumasú ar dheighiltí i bhformáid LUKS2 (Linux Unified Key Setup) trí mheiteashonraí a mhodhnú. Chun an leochaileacht a shaothrú, caithfidh rochtain fhisiciúil a bheith ag an ionsaitheoir ar na meáin criptithe, i.e. Déanann an modh ciall go príomha chun ionsaí a dhéanamh ar fheistí stórála seachtracha criptithe, mar thiomáineann Flash, a bhfuil rochtain ag an ionsaitheoir orthu ach nach bhfuil a fhios aige an focal faire chun na sonraí a dhíchriptiú.
Ní bhaineann an t-ionsaí ach le formáid LUKS2 agus baineann sé le hionramháil meiteashonraí atá freagrach as an síneadh “athchriptiú ar líne” a ghníomhachtú, a cheadaíonn, más gá an eochair rochtana a athrú, tús a chur leis an bpróiseas athchriptithe sonraí ar an eitilt. gan stad leis an obair dheighilte. Ós rud é go dtógann an próiseas díchriptithe agus criptithe le heochair nua go leor ama, fágann “athchriptiú ar líne” is féidir gan cur isteach ar an obair leis an gcríochdheighilt agus athchriptiú a dhéanamh sa chúlra, ag athchriptiú sonraí ó eochair go chéile de réir a chéile. . Is féidir freisin eochair sprioc folamh a roghnú, a ligeann duit an t-alt a thiontú i bhfoirm dhíchriptithe.
Is féidir le hionsaitheoir athruithe a dhéanamh ar mheiteashonraí LUKS2 a shamhlaíonn deireadh leis an oibríocht díchriptithe mar thoradh ar mhainneachtain agus díchriptiú cuid den dheighilt a bhaint amach tar éis don úinéir an tiomántán modhnaithe a ghníomhachtú agus a úsáid. Sa chás seo, ní fhaigheann an t-úsáideoir a nasc an tiomántán modhnaithe agus a dhíghlasáil é leis an bhfocal faire ceart aon rabhadh faoin bpróiseas chun an oibríocht athchriptithe idirbhriste a athchóiriú agus ní féidir leis ach eolas a fháil ar dhul chun cinn na hoibríochta seo trí úsáid a bhaint as an "luks Dump" ordú. Braitheann an méid sonraí a fhéadfaidh ionsaitheoir a dhíchriptiú ar mhéid an cheanntásc LUKS2, ach ar an méid réamhshocraithe (16 MiB) is féidir é a bheith níos mó ná 3 GB.
Is í an fhadhb atá ann ná cé go n-éilíonn athchriptiú hashes na n-eochracha nua agus sean a ríomh agus a fhíorú, níl hash ag teastáil chun tús a chur le díchriptiú má thugann an stát nua le fios nach bhfuil eochair ghnáth-théacs criptithe ann. Ina theannta sin, níl na meiteashonraí LUKS2, a shonraíonn an algartam criptithe, cosanta ó mhodhnú má thiteann sé isteach i lámha ionsaitheoir. Chun an leochaileacht a chosc, chuir na forbróirí cosaint bhreise le haghaidh meiteashonraí chuig LUKS2, a bhfuil hash breise seiceáilte anois ina leith, arna ríomh bunaithe ar eochracha aitheanta agus inneachar meiteashonraí, i.e. ní féidir le hionsaitheoir meiteashonraí a athrú go surreptitiously a thuilleadh gan an focal faire díchriptithe a fhios aige.
Éilíonn cás ionsaithe tipiciúil go mbeidh an t-ionsaitheoir in ann a lámha a fháil ar an tiomáint go minic. Ar dtús, déanann ionsaitheoir nach bhfuil a fhios aige an pasfhocal rochtana athruithe ar an limistéar meiteashonraí, rud a spreagann cuid de na sonraí a dhíchriptiú an chéad uair eile a chuirtear an tiomántán i ngníomh. Cuirtear an tiomáint ar ais chuig a áit ansin agus fanann an t-ionsaitheoir go dtí go nascann an t-úsáideoir é trí phasfhocal a chur isteach. Nuair a bhíonn an gléas gníomhachtaithe ag an úsáideoir, cuirtear tús le próiseas athchriptithe cúlra, agus cuirtear sonraí díchriptithe in ionad cuid de na sonraí criptithe. Ina theannta sin, má éiríonn leis an ionsaitheoir a lámha a fháil ar an bhfeiste arís, beidh cuid de na sonraí ar an tiomáint i bhfoirm dhíchriptithe.
D'aithin cothaitheoir an tionscadail cryptsetup an fhadhb agus socraíodh é sna nuashonruithe cryptsetup 2.4.3 agus 2.3.7. Is féidir stádas na nuashonruithe atá á ghiniúint chun an fhadhb i ndáiltí a réiteach a rianú ar na leathanaigh seo: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Ní léir go bhfuil an leochaileacht ach amháin ó scaoileadh cryptsetup 2.2.0, rud a thug isteach tacaíocht don oibríocht “athchriptiú ar líne”. Mar réiteach oibre le haghaidh cosanta, is féidir seoladh leis an rogha “--disable-luks2-reencryption” a úsáid.
Foinse: oscailtenet.ru