Qhov tsis zoo (CVE-2021-4122) tau raug txheeb xyuas nyob rau hauv pob Cryptsetup, siv los encrypt disk partitions hauv Linux, uas tso cai rau kev nkag mus rau cov neeg xiam oob khab ntawm partitions hauv LUKS2 (Linux Unified Key Setup) hom los ntawm kev hloov metadata. Txhawm rau siv qhov tsis zoo, tus neeg tawm tsam yuav tsum muaj lub cev nkag mus rau cov xov xwm encrypted, i.e. Cov txheej txheem ua rau muaj kev nkag siab tsuas yog rau kev tawm tsam encrypted sab nraud cia li, xws li Flash drives, uas tus attacker nkag tau tab sis tsis paub tus password rau decrypt cov ntaub ntawv.
Qhov kev tawm tsam no tsuas yog siv tau rau LUKS2 hom ntawv thiab cuam tshuam nrog kev tswj hwm ntawm metadata lub luag haujlwm rau kev ua kom "online reencryption" txuas ntxiv, uas tso cai, yog tias tsim nyog los hloov tus yuam sij nkag, pib cov txheej txheem ntawm cov ntaub ntawv reencryption ntawm ya tsis tso tseg ua haujlwm nrog kev faib tawm. Txij li cov txheej txheem decryption thiab encryption nrog tus yuam sij tshiab yuav siv sijhawm ntau, "online reencryption" ua rau nws tsis tuaj yeem cuam tshuam kev ua haujlwm nrog kev faib tawm thiab ua rov qab encryption hauv keeb kwm yav dhau, maj mam rov encrypting cov ntaub ntawv los ntawm ib tus yuam sij mus rau lwm qhov. . Nws tseem tuaj yeem xaiv lub hom phiaj khoob, uas tso cai rau koj los hloov cov ntu rau hauv daim ntawv decrypted.
Tus neeg tawm tsam tuaj yeem hloov pauv rau LUKS2 metadata uas simulate qhov rho tawm ntawm kev ua haujlwm decryption vim qhov ua tsis tiav thiab ua tiav decryption ntawm ib feem ntawm kev faib tawm tom qab qhib thiab siv cov hloov kho los ntawm tus tswv. Nyob rau hauv cov ntaub ntawv no, tus neeg siv uas tau txuas lub hloov kho tsav thiab xauv nws nrog tus password kom raug tsis tau txais ib qho lus ceeb toom txog cov txheej txheem ntawm kev rov ua haujlwm cuam tshuam reencryption thiab tsuas tuaj yeem paub txog qhov kev nce qib ntawm txoj haujlwm no siv "luks Dump" lus txib. Tus nqi ntawm cov ntaub ntawv uas tus neeg tawm tsam tuaj yeem txiav txim siab nyob ntawm qhov loj ntawm LUKS2 header, tab sis ntawm qhov loj me (16 MiB) nws tuaj yeem tshaj 3 GB.
Qhov teeb meem yog tshwm sim los ntawm qhov tseeb tias txawm hais tias rov encryption yuav tsum tau suav thiab txheeb xyuas cov hashs ntawm cov yuam sij tshiab thiab qub, tus hash tsis tas yuav pib decryption yog tias lub xeev tshiab cuam tshuam qhov tsis muaj tus yuam sij plaintext rau encryption. Tsis tas li ntawd, LUKS2 metadata, uas qhia txog qhov encryption algorithm, tsis muaj kev tiv thaiv los ntawm kev hloov kho yog tias nws poob rau hauv txhais tes ntawm tus neeg tawm tsam. Txhawm rau thaiv qhov tsis zoo, cov neeg tsim khoom tau ntxiv kev tiv thaiv ntxiv rau metadata rau LUKS2, uas tam sim no kuaj xyuas ntxiv hash, suav nrog cov yuam sij paub thiab cov ntsiab lus metadata, piv txwv li. tus neeg tawm tsam tsis tuaj yeem hloov pauv cov metadata ntxiv lawm yam tsis paub tus password decryption.
Ib qhov xwm txheej tawm tsam ib txwm xav kom tus neeg tawm tsam tuaj yeem tau txais lawv txhais tes ntawm tus tsav ntau zaus. Ua ntej, tus neeg tawm tsam uas tsis paub tus password nkag mus ua qhov hloov pauv rau thaj chaw metadata, ua rau decryption ntawm ib feem ntawm cov ntaub ntawv lub sijhawm tom ntej lub tsav qhib. Tus tsav rov qab mus rau nws qhov chaw thiab tus neeg tawm tsam tos kom txog thaum tus neeg siv txuas nws los ntawm kev nkag mus rau tus password. Thaum lub cuab yeej qhib los ntawm tus neeg siv, cov txheej txheem rov qab rov encryption yog pib, thaum lub sijhawm ib feem ntawm cov ntaub ntawv encrypted hloov nrog cov ntaub ntawv decrypted. Tsis tas li ntawd, yog tias tus neeg tawm tsam tswj hwm nws txhais tes ntawm lub cuab yeej dua, qee cov ntaub ntawv ntawm tus tsav yuav nyob rau hauv daim ntawv decrypted.
Qhov teeb meem tau txheeb xyuas los ntawm tus neeg saib xyuas qhov project cryptsetup thiab kho hauv cryptsetup 2.4.3 thiab 2.3.7 hloov tshiab. Cov xwm txheej ntawm kev hloov tshiab tau tsim los kho qhov teeb meem hauv kev faib khoom tuaj yeem taug qab ntawm cov nplooj ntawv no: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Qhov tsis zoo tsuas yog tshwm sim txij li thaum tso tawm cryptsetup 2.2.0, uas qhia txog kev txhawb nqa rau "online reencryption" ua haujlwm. Raws li kev ua haujlwm rau kev tiv thaiv, pib nrog "--disable-luks2-reencryption" kev xaiv tuaj yeem siv.
Tau qhov twg los: opennet.ru