Ua ʻike ʻia kahi vulnerability (CVE-2021-4122) i loko o ka pūʻolo Cryptsetup, i hoʻohana ʻia no ka hoʻopili ʻana i nā ʻāpana disk ma Linux, e hiki ai ke hoʻopau ʻia ka hoʻopili ʻana ma nā ʻāpana i ka format LUKS2 (Linux Unified Key Setup) ma ka hoʻololi ʻana i nā metadata. No ka hoʻohana ʻana i ka nāwaliwali, pono i ka mea hoʻouka ke komo kino i ka media i hoʻopili ʻia, ʻo ia hoʻi. Maikaʻi ke ʻano no ka hoʻouka ʻana i nā mea mālama waho i hoʻopili ʻia, e like me Flash drive, kahi i loaʻa ai i ka mea hoʻouka akā ʻaʻole ʻike i ka ʻōlelo huna e hoʻokaʻawale i ka ʻikepili.
Hoʻopili ʻia ka hoʻouka ʻana no ka format LUKS2 a pili pū me ka hoʻoponopono ʻana i nā metadata kuleana no ka hoʻāla ʻana i ka hoʻonui ʻia "online reencryption", e hiki ai, inā pono e hoʻololi i ke kī komo, e hoʻomaka i ke kaʻina o ka reencryption data ma ka lele. me ka hooki ole i ka hana me ka paku. Ma muli o ke kaʻina hana o ka decryption a me ka hoʻopili ʻana me kahi kī hou he nui ka manawa, hiki i ka "reencryption online" ke hiki ke hoʻopau i ka hana me ka pā a hana i ka hoʻopili hou ʻana i ke kua, e hoʻopili hou i ka ʻikepili mai kekahi kī i kekahi. . Hiki nō hoʻi ke koho i kahi kī kī ʻole, kahi e hiki ai iā ʻoe ke hoʻololi i ka ʻāpana i kahi ʻano decrypted.
Hiki i ka mea hoʻouka ke hoʻololi i ka metadata LUKS2 e hoʻohālikelike i ka hoʻopau ʻana i ka hana decryption ma muli o ka hiki ʻole a hoʻokō i ka decryption o kahi ʻāpana o ka pā ma hope o ka hoʻāla ʻana a me ka hoʻohana ʻana i ka drive i hoʻololi ʻia e ka mea nona. I kēia hihia, ʻo ka mea hoʻohana i hoʻopili i ka drive i hoʻololi ʻia a wehe ʻia me ka ʻōlelo huna pololei ʻaʻole e loaʻa i kahi ʻōlelo aʻo e pili ana i ke kaʻina hana o ka hoʻihoʻi ʻana i ka hana reencryption i hoʻopau ʻia a hiki ke ʻike e pili ana i ka holomua o kēia hana me ka hoʻohana ʻana i ka "luks Dump". kauoha. ʻO ka nui o ka ʻikepili i hiki i ka mea hoʻouka ke decrypt ma muli o ka nui o ke poʻo LUKS2, akā ma ka nui paʻamau (16 MiB) hiki ke ʻoi aku ma mua o 3 GB.
ʻO ka pilikia ma muli o ka ʻoiaʻiʻo ʻoiai ʻo ka hoʻopili hou ʻana e pono ai ka helu ʻana a me ka hōʻoia ʻana i nā hashes o nā kī hou a me nā kī kahiko, ʻaʻole pono kahi hash e hoʻomaka i ka decryption inā ʻo ka mokuʻāina hou e hōʻike ana i ka nele o kahi kī plaintext no ka hoʻopili ʻana. Eia kekahi, ʻaʻole pale ʻia ka metadata LUKS2, ka mea i kuhikuhi i ka algorithm encryption, mai ka hoʻololi ʻana inā hāʻule i loko o ka lima o kahi mea hoʻouka. No ka pale ʻana i ka nāwaliwali, ua hoʻohui nā mea hoʻomohala i ka pale hou no ka metadata iā LUKS2, kahi i nānā ʻia ai kahi hash hou, i helu ʻia ma muli o nā kī i ʻike ʻia a me nā ʻike metadata, ʻo ia hoʻi. ʻAʻole hiki i ka mea hoʻouka ke hoʻololi malū i ka metadata me ka ʻike ʻole i ka ʻōlelo huna decryption.
Pono ka hoʻouka kaua maʻamau i hiki i ka mea hoʻouka ke kau i ko lākou mau lima ma ke kaʻa i nā manawa he nui. ʻO ka mea mua, ʻo ka mea hoʻouka kaua i ʻike ʻole i ka ʻōlelo huna e hoʻololi i ka wahi metadata, e hoʻomaka ana i ka decryption o ka ʻāpana o ka ʻikepili i ka manawa aʻe e hoʻāla ʻia ai ka drive. Hoʻihoʻi ʻia ka huakaʻi i kona wahi a kali ka mea hoʻouka a hiki i ka mea hoʻohana e hoʻopili iā ia ma ke komo ʻana i kahi ʻōlelo huna. Ke hoʻohana ʻia ka mea hoʻohana e ka mea hoʻohana, hoʻomaka ʻia kahi kaʻina hana hoʻopiʻi hou ʻana, i ka manawa e hoʻololi ʻia ai kahi hapa o ka ʻikepili i hoʻopili ʻia me ka ʻikepili decrypted. Eia hou, inā hiki i ka mea hoʻouka ke kau hou i kona mau lima ma luna o ka hāmeʻa, aia kekahi o nā ʻikepili ma ka drive ma ke ʻano decrypted.
Uaʻikeʻia ka pilikia e ka mea mālama papahana cryptsetup a hoʻopaʻaʻia i ka cryptsetup 2.4.3 a me 2.3.7 updates. Hiki ke ʻike ʻia ke kūlana o nā mea hou e hoʻoponopono ai i ka pilikia i ka hāʻawi ʻana ma kēia mau ʻaoʻao: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. ʻIke wale ʻia ka nāwaliwali mai ka hoʻokuʻu ʻia ʻana o cryptsetup 2.2.0, nāna i hoʻokomo i ke kākoʻo no ka hana "reencryption online". Ma ke ʻano he hana no ka pale ʻana, hiki ke hoʻohana ʻia ke koho "--disable-luks2-reencryption".
Source: opennet.ru