Nochtadh sonraí faoi leochaileacht (CVE-2022-0492) i gcur i bhfeidhm an mheicníocht teorannaithe acmhainní cgroups v1 sa chroílár. Linux, ar féidir a úsáid chun éalú ó choimeádáin scoite. Léiríonn an fhadhb í féin ag tosú leis an eithne. Linux 2.6.24 agus socraithe in eisiúintí eithne 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266, agus 4.9.301. Is féidir leat scaoileadh nuashonruithe pacáiste i ndáiltí a rianú ar na leathanaigh seo: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Áirse Linux.
Tá an leochaileacht mar gheall ar earráid loighciúil sa láimhseálaí comhad release_agent a theipeann ar sheiceálacha cuí a dhéanamh agus an láimhseálaí á rith le pribhléidí iomlána. Úsáidtear an comhad release_agent chun an clár a bheidh le déanamh ag an eithne a shainiú nuair a chuirtear deireadh le próiseas i cgroup. Ritheann an clár seo mar fhréamh agus le gach “cumas” san ainmspás fréimhe. Glacadh leis nach raibh rochtain ach ag an riarthóir ar an socrú release_agent, ach i ndáiríre bhí na seiceálacha teoranta do rochtain a dheonú don úsáideoir fréimhe, rud a d'fhág nach raibh an socrú á athrú ón gcoimeádán ná ag úsáideoir fréimhe gan cearta riarthóra (CAP_SYS_ADMIN) ).
Roimhe seo, ní bheadh a leithéid de ghné le brath mar leochaileacht, ach tá athrú tagtha ar an scéal le teacht na spásanna ainmneacha úsáideoirí (spásanna ainmneacha úsáideoirí), a ligeann duit úsáideoirí fréamhacha ar leith a chruthú i gcoimeádáin nach bhfuil forluí orthu le húsáideoir fréimhe an príomhthimpeallacht. Dá réir sin, le haghaidh ionsaí, is leor do láimhseálaí release_agent a nascadh i gcoimeádán a bhfuil a fhréamh-úsáideoir féin aige i spás ID úsáideora ar leith, a dhéanfar, tar éis an próiseas a chríochnú, a fhorghníomhú le pribhléidí iomlána an phríomh-thimpeallachta.
De réir réamhshocraithe, tá cgroupfs suite i gcoimeádán sa mhód inléite amháin, ach níl aon fhadhb ann an pseudofs seo a athshuiteáil sa mhód scríofa má tá cearta CAP_SYS_ADMIN agat nó má chruthaíonn tú coimeádán neadaithe le spás ainm úsáideora ar leith ag baint úsáide as an nglao córais unshare, ina bhfuil Tá cearta CAP_SYS_ADMIN ar fáil don choimeádán cruthaithe.
Is féidir an t-ionsaí a dhéanamh le pribhléidí fréimhe i gcoimeádán scoite nó agus coimeádán á rith gan an bhratach no_new_privs, rud a chuireann cosc ar phribhléidí breise a dheonú. Ní mór spásanna ainm úsáideora a chumasú ar an gcóras (cumasaithe de réir réamhshocraithe i Ubuntu agus Fedora, ach níor gníomhaíodh i Debian agus RHEL) agus rochtain ar an ngrúpa fréimhe c v1 (mar shampla, ritheann Docker coimeádáin sa ghrúpa fréimhe RDMA). Is féidir an t-ionsaí a dhéanamh freisin le pribhléidí CAP_SYS_ADMIN, agus sa chás sin níl gá le tacaíocht ainmspáis úsáideora ná le rochtain ar ordlathas an ghrúpa fréimhe c v1.
Chomh maith le éalú ó choimeádán iargúlta, ceadaíonn an leochaileacht freisin próisis a sheol úsáideoir fréimhe gan "cumais" nó aon úsáideoir a bhfuil cearta CAP_DAC_OVERRIDE aige (éilíonn an ionsaí rochtain ar an gcomhad / sys / fs / cgroup / * / release_agent, is é sin úinéireacht ag fréamh) chun rochtain a fháil ar gach “cumas” córasach.
Tugtar faoi deara nach féidir an leochaileacht a shaothrú agus meicníochtaí cosanta Seccomp, AppArmor nó SE in úsáid.Linux le haghaidh aonrú breise coimeádán, ós rud é go mblocálann Seccomp an glao chuig an nglao córais unshare(), agus AppArmor agus SELinux ná ceadaigh cgroupfs a fheistiú i mód scríofa.
Foinse: oscailtenet.ru
