ProHoster > Pūnaewele > nūhou pūnaewele > ʻO ka nāwaliwali ma OverlayFS e ʻae ana i ka piʻi ʻana o ka pono

ʻO ka nāwaliwali ma OverlayFS e ʻae ana i ka piʻi ʻana o ka pono

Ma ka Linux kernel, ua ʻike ʻia kahi nāwaliwali i ka hoʻokō ʻana i ka ʻōnaehana faila OverlayFS (CVE-2023-0386), hiki ke hoʻohana ʻia no ka loaʻa ʻana o ke aʻa i nā ʻōnaehana i hoʻokomo ʻia ka subsystem FUSE a ʻae i ka hoʻouka ʻana o nā ʻāpana OverlayFS e kahi. mea hoʻohana pono ʻole (e hoʻomaka ana me ka Linux kernel 5.11 me ka hoʻokomo ʻana i ka inoa inoa mea hoʻohana pono ʻole). Ua hoʻoponopono ʻia ka pilikia ma ka lālā kernel 6.2. Hiki ke ʻike ʻia ka paʻi ʻana o nā hōʻano hou i nā puʻupuʻu ma nā ʻaoʻao: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Hoʻokō ʻia ka hoʻouka ʻana ma ke kope ʻana i nā faila me nā hae setgid/setuid mai kahi ʻāpana i kau ʻia ma ke ʻano nosuid i kahi ʻāpana OverlayFS i loaʻa kahi papa e pili ana i ka pā e hiki ai ke hoʻokō i nā faila suid. Kokoke ka vulnerability i ka pilikia CVE-2021-3847 i ʻike ʻia ma 2021, akā he haʻahaʻa haʻahaʻa nā koi hoʻohana - ʻo ka pilikia kahiko e koi ai i ka manipulation o xattrs, i kaupalena ʻia ke hoʻohana ʻana i nā inoa inoa mea hoʻohana, a hoʻohana ka pilikia hou i nā bits setgid/setuid, ʻo ia hoʻi. ʻaʻole i mālama pono ʻia ma ka inoa inoa mea hoʻohana.

Algorithm hoouka:

  • Ke hoʻohana nei i ka subsystem FUSE, ua kau ʻia kahi ʻōnaehana faila, aia kahi faila hiki ke hoʻokō ʻia no ka mea hoʻohana kumu me nā hae setuid/setgid, hiki i nā mea hoʻohana āpau no ke kākau ʻana. Ke kau nei, hoʻonoho ʻo FUSE i ke ʻano i "nosuid".
  • ʻAʻole kaʻana like ʻia nā papa inoa mea hoʻohana/mauna.
  • Kau ʻia ʻo OverlayFS, e wehewehe ana i ka FS i hana mua ʻia ma FUSE ma ke ʻano he papa lalo a me ka papa luna e pili ana i kahi papa kuhikuhi kākau. Pono e loaʻa ka papa kuhikuhi papa luna ma kahi ʻōnaehana faila i hoʻohana ʻole i ka hae "nosuid" i ka wā e kau ai.
  • No ka faile suid i ka ʻāpana FUSE, hoʻololi ka hāmeʻa paʻi i ka manawa hoʻololi, e alakaʻi ana i kāna kope ʻana i ka papa luna o OverlayFS.
  • I ke kope ʻana, ʻaʻole hoʻomaʻemaʻe ka kernel i nā hae setgid/setuid, kahi e ʻike ʻia ai ka faila ma kahi pā e hiki ai ke hana setgid/setuid.
  • No ka loaʻa ʻana o nā kuleana kumu, e holo wale i ka faila me nā hae setgid/setuid mai ka papa kuhikuhi i hoʻopili ʻia i ka papa luna o OverlayFS.

Eia hou, hiki iā mākou ke hoʻomaopopo i ka hōʻike ʻana e nā mea noiʻi mai ka hui Google Project Zero o ka ʻike e pili ana i ʻekolu mau nāwaliwali i hoʻopaʻa ʻia ma ka lālā nui o ka Linux kernel 5.15, akā ʻaʻole i hoʻoili ʻia i nā pūʻulu me ka kernel mai RHEL 8.x/9. x a me CentOS Stream 9.

  • CVE-2023-1252 - komo i kahi wahi hoʻomanaʻo i hoʻokuʻu ʻia i ka hale ovl_aio_req i ka wā e hana ai i nā hana he nui i ka manawa like ma OverlayFS i kau ʻia ma luna o ka ʻōnaehana faila Ext4. Hiki paha, hiki i ka vulnerability ke hoʻonui i kāu mau pono i ka ʻōnaehana.
  • CVE-2023-0590 - Loaʻa i ka hoʻomanaʻo i hoʻokuʻu ʻia ma ka hana qdisc_graft (). Manaʻo ʻia ka hoʻopau ʻia ʻana o ka hana.
  • CVE-2023-1249 Loaʻa ka loaʻa ʻana o ka hoʻomanaʻo i loko o ka coredump write code ma muli o kahi kelepona ʻole iā mmap_lock ma file_files_note. Manaʻo ʻia ka hoʻopau ʻia ʻana o ka hana.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka