Cov ntsiab lus ntawm qhov tsis zoo (CVE-2022-0492) hauv kev ua raws li cgroups v1 cov txheej txheem txwv kev siv hauv Linux kernel, uas tuaj yeem siv los khiav tawm cov thawv cais, tau tshaj tawm. Qhov teeb meem tau tshwm sim txij li Linux ntsiav 2.6.24 thiab tau kho nyob rau hauv kernel tso tawm 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266, thiab 4.9.301. Koj tuaj yeem ua raws li cov ntawv tshaj tawm ntawm pob hloov tshiab hauv kev faib tawm ntawm nplooj ntawv no: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Qhov tsis txaus ntseeg yog vim muaj qhov yuam kev hauv cov ntaub ntawv tso tawm_agent tus neeg tuav ntaub ntawv uas ua tsis tau raws li kev kuaj xyuas kom raug thaum khiav tus tuav nrog tag nrho cov cai. Cov ntaub ntawv release_agent yog siv los txhais cov kev pab cuam kom raug tua los ntawm cov ntsiav thaum cov txheej txheem hauv cgroup raug kaw. Qhov kev pab cuam no khiav raws li hauv paus thiab nrog tag nrho "muaj peev xwm" hauv paus namespace. Nws tau xav tias tsuas yog tus thawj tswj hwm tau nkag mus rau qhov chaw tso tawm_agent, tab sis qhov tseeb cov tshev tau txwv rau kev tso cai nkag mus rau tus neeg siv hauv paus, uas tsis suav nrog qhov chaw hloov pauv ntawm lub thawv lossis los ntawm tus neeg siv hauv paus tsis muaj cai tswj hwm (CAP_SYS_ADMIN ).
Yav dhau los, xws li ib tug feature yuav tsis tau pom tias yog ib qho yooj yim, tab sis qhov xwm txheej tau hloov nrog lub advent ntawm usernamespaces (tus neeg siv namespaces), uas tso cai rau koj los tsim cais cov neeg siv hauv paus hauv cov thawv uas tsis sib tshooj nrog cov neeg siv lub hauv paus. ib puag ncig tseem ceeb. Raws li, rau qhov kev tawm tsam, nws txaus los txuas koj tus neeg sawv cev tso tawm hauv lub thawv uas muaj nws tus kheej cov neeg siv hauv paus hauv qhov chaw cais tus neeg siv ID, uas, tom qab ua tiav cov txheej txheem, yuav raug tua nrog tag nrho cov cai ntawm lub ntsiab ib puag ncig.
Los ntawm lub neej ntawd, cgroupfs yog mounted rau hauv ib lub thawv nyob rau hauv hom nyeem nkaus xwb, tab sis tsis muaj teeb meem remounting no pseudofs nyob rau hauv sau hom yog tias koj muaj CAP_SYS_ADMIN txoj cai los yog los ntawm tsim ib tug nested thawv nrog ib tug cais usernamespace siv lub unshare system hu, nyob rau hauv uas CAP_SYS_ADMIN txoj cai muaj rau lub thawv tsim.
Qhov kev tawm tsam tuaj yeem ua tau yog tias koj muaj cov cai hauv paus hauv lub thawv cais lossis thaum khiav lub thawv tsis muaj tus chij no_new_privs, uas txwv tsis pub tau txais cov cai ntxiv. Lub kaw lus yuav tsum muaj kev txhawb nqa rau cov neeg siv lub npe qhib (ua haujlwm los ntawm lub neej ntawd hauv Ubuntu thiab Fedora, tab sis tsis qhib hauv Debian thiab RHEL) thiab muaj kev nkag mus rau hauv paus cgroup v1 (piv txwv li, Docker sau ntim hauv paus RDMA cgroup). Qhov kev tawm tsam kuj tuaj yeem ua tau yog tias koj muaj cai CAP_SYS_ADMIN, nyob rau hauv rooj plaub uas txhawb rau cov neeg siv lub npe thiab nkag mus rau cgroup v1 hauv paus hierarchy tsis tas yuav tsum tau.
Ntxiv nrog rau kev khiav tawm ntawm lub thawv cais, qhov muaj qhov tsis zoo kuj tso cai rau cov txheej txheem tsim los ntawm tus neeg siv hauv paus tsis muaj "muaj peev xwm" lossis ib tus neeg siv nrog CAP_DAC_OVERRIDE txoj cai (qhov kev tawm tsam yuav tsum tau nkag mus rau cov ntaub ntawv /sys/fs/cgroup/*/release_agent, uas yog muaj los ntawm cov hauv paus) kom nkag mus rau txhua qhov systemic "muaj peev xwm".
Nws tau raug sau tseg tias qhov tsis muaj peev xwm tsis tuaj yeem siv tau thaum siv Seccomp, AppArmor lossis SELinux cov txheej txheem tiv thaiv kev sib cais ntxiv ntawm cov ntim, txij li Seccomp thaiv kev nkag mus rau unshare() system hu, thiab AppArmor thiab SELinux tsis tso cai mounting cgroupfs hauv hom sau ntawv.
Tau qhov twg los: opennet.ru