cgroups v1 માં નબળાઈ કે જે એક અલગ કન્ટેનરમાંથી છટકી જવાની મંજૂરી આપે છે

Linux કર્નલમાં cgroups v2022 રિસોર્સ લિમિટેશન મિકેનિઝમના અમલીકરણમાં નબળાઈની વિગતો (CVE-0492-1) જાહેર કરવામાં આવી છે, જેનો ઉપયોગ અલગ કન્ટેનરમાંથી બચવા માટે થઈ શકે છે. સમસ્યા Linux કર્નલ 2.6.24 થી હાજર છે અને કર્નલ રીલીઝ 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266, અને 4.9.301 માં ઠીક કરવામાં આવી હતી. તમે આ પૃષ્ઠો પર વિતરણોમાં પેકેજ અપડેટ્સના પ્રકાશનોને અનુસરી શકો છો: ડેબિયન, SUSE, ઉબુન્ટુ, RHEL, Fedora, Gentoo, Arch Linux.

રીલીઝ_એજન્ટ ફાઇલ હેન્ડલરમાં તર્કની ભૂલને કારણે નબળાઈ છે જે સંપૂર્ણ વિશેષાધિકારો સાથે હેન્ડલર ચલાવતી વખતે યોગ્ય તપાસ કરવામાં નિષ્ફળ જાય છે. રિલીઝ_એજન્ટ ફાઇલનો ઉપયોગ કર્નલ દ્વારા એક્ઝિક્યુટ કરવાના પ્રોગ્રામને વ્યાખ્યાયિત કરવા માટે થાય છે જ્યારે cgroup માં પ્રક્રિયા સમાપ્ત થાય છે. આ પ્રોગ્રામ રુટ તરીકે અને રુટ નેમસ્પેસમાં તમામ "ક્ષમતા" સાથે ચાલે છે. એવું માનવામાં આવતું હતું કે ફક્ત એડમિનિસ્ટ્રેટરને જ રિલીઝ_એજન્ટ સેટિંગની ઍક્સેસ હતી, પરંતુ વાસ્તવમાં ચેક રુટ વપરાશકર્તાને ઍક્સેસ આપવા માટે મર્યાદિત હતા, જે કન્ટેનરમાંથી અથવા રુટ વપરાશકર્તા દ્વારા એડમિનિસ્ટ્રેટર અધિકારો (CAP_SYS_ADMIN) વિના બદલાઈ રહેલી સેટિંગને બાકાત રાખતા નથી. ).

અગાઉ, આવી સુવિધાને નબળાઈ તરીકે માનવામાં આવતું ન હતું, પરંતુ વપરાશકર્તા નેમસ્પેસ (યુઝર નેમસ્પેસ) ના આગમન સાથે પરિસ્થિતિ બદલાઈ ગઈ છે, જે તમને કન્ટેનરમાં અલગ રુટ વપરાશકર્તાઓ બનાવવાની મંજૂરી આપે છે જે રુટ વપરાશકર્તા સાથે ઓવરલેપ થતા નથી. મુખ્ય પર્યાવરણ. તદનુસાર, હુમલા માટે, તમારા રીલીઝ_એજન્ટ હેન્ડલરને એક અલગ વપરાશકર્તા ID જગ્યામાં તેના પોતાના રૂટ વપરાશકર્તા ધરાવતા કન્ટેનરમાં કનેક્ટ કરવા માટે તે પૂરતું છે, જે પ્રક્રિયા પૂર્ણ કર્યા પછી, મુખ્ય પર્યાવરણના સંપૂર્ણ વિશેષાધિકારો સાથે ચલાવવામાં આવશે.

ડિફૉલ્ટ રૂપે, cgroupfs ને ફક્ત-વાંચવા માટેના મોડમાં કન્ટેનરમાં માઉન્ટ કરવામાં આવે છે, પરંતુ જો તમારી પાસે CAP_SYS_ADMIN અધિકારો હોય અથવા અનશેર સિસ્ટમ કૉલનો ઉપયોગ કરીને અલગ વપરાશકર્તા નેમસ્પેસ સાથે નેસ્ટેડ કન્ટેનર બનાવીને લેખિત મોડમાં આ સ્યુડોફ્સને ફરીથી માઉન્ટ કરવામાં કોઈ સમસ્યા નથી, જેમાં બનાવેલ કન્ટેનર માટે CAP_SYS_ADMIN અધિકારો ઉપલબ્ધ છે.

જો તમારી પાસે એક અલગ કન્ટેનરમાં રૂટ વિશેષાધિકારો હોય અથવા no_new_privs ફ્લેગ વિના કન્ટેનર ચલાવતા હોવ, તો હુમલો કરી શકાય છે, જે વધારાના વિશેષાધિકારો મેળવવાને પ્રતિબંધિત કરે છે. સિસ્ટમમાં યુઝર નેમસ્પેસ સક્ષમ (ઉબુન્ટુ અને ફેડોરામાં ડિફોલ્ટ રૂપે સક્ષમ, પરંતુ ડેબિયન અને આરએચઈએલમાં સક્રિય નથી) અને રૂટ સીગ્રુપ v1 (ઉદાહરણ તરીકે, ડોકર રૂટ RDMA cgroupમાં કન્ટેનર ચલાવે છે) ની ઍક્સેસ હોવી જોઈએ. જો તમારી પાસે CAP_SYS_ADMIN વિશેષાધિકારો હોય તો પણ હુમલો શક્ય છે, જે કિસ્સામાં વપરાશકર્તા નેમસ્પેસ માટે સમર્થન અને cgroup v1 રૂટ હાયરાર્કીની ઍક્સેસ જરૂરી નથી.

એક અલગ કન્ટેનરમાંથી બહાર નીકળવા ઉપરાંત, નબળાઈ રુટ વપરાશકર્તા દ્વારા "ક્ષમતા" વિના અથવા CAP_DAC_OVERRIDE અધિકારો ધરાવતા કોઈપણ વપરાશકર્તા દ્વારા શરૂ કરવામાં આવેલી પ્રક્રિયાઓને પણ મંજૂરી આપે છે (હુમલા માટે ફાઇલ /sys/fs/cgroup/*/release_agent, જે છે. રુટની માલિકીની) તમામ પ્રણાલીગત "ક્ષમતા" સુધી પહોંચવા માટે.

તે નોંધવામાં આવે છે કે કન્ટેનરના વધારાના અલગતા માટે Seccomp, AppArmor અથવા SELinux સુરક્ષા પદ્ધતિનો ઉપયોગ કરતી વખતે નબળાઈનો ઉપયોગ કરી શકાતો નથી, કારણ કે Seccomp unshare() સિસ્ટમ કૉલની ઍક્સેસને અવરોધે છે, અને AppArmor અને SELinux cgroupfsને રાઈટ મોડમાં માઉન્ટ કરવાની મંજૂરી આપતા નથી.

સોર્સ: opennet.ru