Ekwupụtala nkọwapụta nke adịghị ike (CVE-2022-0492) na mmejuputa usoro mmechi akụrụngwa cgroups v1 na Linux kernel, nke enwere ike iji gbanarị arịa ndị dịpụrụ adịpụ. Nsogbu a adịla kemgbe Linux kernel 2.6.24 ma dozie ya na mwepụta kernel 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266, na 4.9.301. Ị nwere ike iso mbipụta nke mmelite ngwugwu na nkesa na ibe ndị a: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Ọdịmma ahụ bụ n'ihi njehie mgbagha dị na onye na-ahụ maka faịlụ release_agent nke na-emeghị nyocha kwesịrị ekwesị mgbe ọ na-eji ikike zuru oke na-eji njikwa ahụ. A na-eji faịlụ release_agent kọwapụta mmemme a ga-egbu site na kernel mgbe usoro n'otu otu kwụsịrị. Usoro a na-agba ọsọ dị ka mgbọrọgwụ na "ikike" niile na mgbọrọgwụ aha. A na-eche na ọ bụ naanị onye nchịkwa nwere ohere ịnweta ntọala release_agent, mana n'eziokwu, nlele ahụ bụ naanị inye ohere ịnweta onye ọrụ mgbọrọgwụ, nke na-ewepụghị ntọala a gbanwere na akpa ma ọ bụ site na onye ọrụ mgbọrọgwụ na-enweghị ikike nchịkwa (CAP_SYS_ADMIN). ).
Na mbụ, agaraghị aghọta ihe dị otú ahụ dị ka adịghị ike, ma ọnọdụ ahụ agbanweela na ọbịbịa nke aha njirimara (aha njirimara), nke na-enye gị ohere ịmepụta ndị ọrụ mgbọrọgwụ dị iche iche n'ime akpa ndị na-adịghị agafe na onye ọrụ mgbọrọgwụ. isi gburugburu ebe obibi. N'ihi ya, maka mbuso agha, o zuru ezu jikọọ gị release_agent njikwa n'ime akpa nke nwere mgbọrọgwụ onye ọrụ na ohere ID onye ọrụ dị iche, nke, mgbe emechara usoro ahụ, a ga-egbu ya na ikike zuru oke nke gburugburu ebe obibi.
Site na ndabara, a na-etinye cgroupfs n'ime akpa na ọnọdụ ọgụgụ naanị, mana ọ nweghị nsogbu ịbugharị pseudofs a na ọnọdụ ederede ma ọ bụrụ na ị nwere ikike CAP_SYS_ADMIN ma ọ bụ site na ịmepụta akpa akwụrụ nwere oghere aha njirimara dị iche site na iji usoro enweghị òkè, nke na-eme ya. ikike CAP_SYS_ADMIN dị maka akpa emepụtara.
Enwere ike ịme mwakpo ahụ ma ọ bụrụ na ị nwere ikike mgbọrọgwụ n'ime akpa dịpụrụ adịpụ ma ọ bụ mgbe ị na-agba akpa na-enweghị ọkọlọtọ no_new_privs, nke na-amachibido ịnweta ohere ndị ọzọ. Usoro a ga-enwerịrị nkwado maka oghere aha njirimara (nyere ya na ndabara na Ubuntu na Fedora, mana ọ naghị arụ ọrụ na Debian na RHEL) ma nwee ike ịnweta mgbọrọgwụ cgroup v1 (dịka ọmụmaatụ, Docker na-agba ọsọ na mgbọrọgwụ RDMA cgroup). Mwakpo a ga-ekwe omume ma ọ bụrụ na ị nwere ihe ùgwù CAP_SYS_ADMIN, ebe ọ bụ na nkwado maka oghere aha njirimara na ịnweta cgroup v1 root hierarchy adịghị achọ.
Na mgbakwunye na ịpụ na akpa dịpụrụ adịpụ, adịghị ike ahụ na-enyekwa ohere usoro nke onye ọrụ mgbọrọgwụ malitere na-enweghị "ikike" ma ọ bụ onye ọrụ ọ bụla nwere ikike CAP_DAC_OVERRIDE (mwakpo ahụ chọrọ ịnweta faịlụ / sys / fs / cgroup / * / release_agent, nke bụ. nke mgbọrọgwụ) iji nweta ohere "ikike" niile nke sistemu.
Achọpụtara na enweghị ike iji ya mee ihe mgbe ị na-eji usoro nchekwa Seccomp, AppArmor ma ọ bụ SELinux maka ikewapụ arịa ndị ọzọ, ebe ọ bụ na Seccomp na-egbochi ịbanye na oku sistemu unshare (), AppArmor na SELinux anaghị ekwe ka ịrị elu cgroupfs na ọnọdụ ederede.
isi: opennet.ru