Akọwapụtala nkọwa gbasara adịghị ike (CVE-2022-0492) n'ime mmejuputa usoro mmachi akụrụngwa cgroups v1 na kernel. Linux, nke enwere ike iji gbapụ n'ime akpa ndị dịpụrụ adịpụ. Nsogbu a na-apụta ìhè site na kernel. Linux 2.6.24 ma dozie ya na ntọhapụ kernel 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266, na 4.9.301. Ị nwere ike soro mwepụta nke mmelite ngwugwu na nkesa na ibe ndị a: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Ọdịmma ahụ bụ n'ihi njehie mgbagha dị na onye na-ahụ maka faịlụ release_agent nke na-emeghị nyocha kwesịrị ekwesị mgbe ọ na-eji ikike zuru oke na-eji njikwa ahụ. A na-eji faịlụ release_agent kọwapụta mmemme a ga-egbu site na kernel mgbe usoro n'otu otu kwụsịrị. Usoro a na-agba ọsọ dị ka mgbọrọgwụ na "ikike" niile na mgbọrọgwụ aha. A na-eche na ọ bụ naanị onye nchịkwa nwere ohere ịnweta ntọala release_agent, mana n'eziokwu, nlele ahụ bụ naanị inye ohere ịnweta onye ọrụ mgbọrọgwụ, nke na-ewepụghị ntọala a gbanwere na akpa ma ọ bụ site na onye ọrụ mgbọrọgwụ na-enweghị ikike nchịkwa (CAP_SYS_ADMIN). ).
Na mbụ, agaraghị aghọta ihe dị otú ahụ dị ka adịghị ike, ma ọnọdụ ahụ agbanweela na ọbịbịa nke aha njirimara (aha njirimara), nke na-enye gị ohere ịmepụta ndị ọrụ mgbọrọgwụ dị iche iche n'ime akpa ndị na-adịghị agafe na onye ọrụ mgbọrọgwụ. isi gburugburu ebe obibi. N'ihi ya, maka mbuso agha, o zuru ezu jikọọ gị release_agent njikwa n'ime akpa nke nwere mgbọrọgwụ onye ọrụ na ohere ID onye ọrụ dị iche, nke, mgbe emechara usoro ahụ, a ga-egbu ya na ikike zuru oke nke gburugburu ebe obibi.
Site na ndabara, a na-etinye cgroupfs n'ime akpa na ọnọdụ ọgụgụ naanị, mana ọ nweghị nsogbu ịbugharị pseudofs a na ọnọdụ ederede ma ọ bụrụ na ị nwere ikike CAP_SYS_ADMIN ma ọ bụ site na ịmepụta akpa akwụrụ nwere oghere aha njirimara dị iche site na iji usoro enweghị òkè, nke na-eme ya. ikike CAP_SYS_ADMIN dị maka akpa emepụtara.
Атака может быть совершена при наличии root-полномочий в изолированном контейнере или при запуске контейнера без флага no_new_privs, запрещающего получение дополнительных привилегий. В системе должна быть включена поддержка user namespaces (по умолчанию включена в Ubuntu и Fedora, но не активирована в Debian и RHEL) и присутствовать доступ к корневому cgroup v1 (например Docker запускает контейнеры в корневом RDMA cgroup). Атака также возможна при наличии привилегий CAP_SYS_ADMIN, в этом случае поддержка user namespaces и доступ к корневой иерархии cgroup v1 не требуется.
Na mgbakwunye na ịpụ na akpa dịpụrụ adịpụ, adịghị ike ahụ na-enyekwa ohere usoro nke onye ọrụ mgbọrọgwụ malitere na-enweghị "ikike" ma ọ bụ onye ọrụ ọ bụla nwere ikike CAP_DAC_OVERRIDE (mwakpo ahụ chọrọ ịnweta faịlụ / sys / fs / cgroup / * / release_agent, nke bụ. nke mgbọrọgwụ) iji nweta ohere "ikike" niile nke sistemu.
Отмечается, что уязвимость не может быть эксплуатирована при применении механизмов защиты Seccomp, AppArmor или SELinux для дополнительной изоляции контейнеров, так как Seccomp блокирует обращение к системному вызову unshare(), а AppArmor и SELinux не позволяют примонтировать cgroupfs в режиме записи.
isi: opennet.ru
