Varnarleysi hefur fundist í Linux kjarnanum (CVE-2022-42896) sem gæti hugsanlega verið notað til að skipuleggja fjarkóðunarframkvæmd á kjarnastigi með því að senda sérhannaðan L2CAP pakka í gegnum Bluetooth. Að auki hefur annað svipað vandamál verið greint (CVE-2022-42895) í L2CAP meðhöndluninni, sem getur leitt til leka á innihaldi kjarnaminni í pökkum með stillingarupplýsingum. Fyrsta varnarleysið hefur verið að birtast síðan í ágúst 2014 (kjarni 3.16) og það síðara síðan í október 2011 (kjarni 3.0). Tekið hefur verið á veikleikunum í Linux kjarnaútgáfum 6.1.0, 6.0.8, 4.9.333, 4.14.299, 4.19.265, 5.4.224, 5.10.154 og 5.15.78. Þú getur fylgst með lagfæringum í dreifingum á eftirfarandi síðum: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
Til að sýna fram á möguleikann á að framkvæma fjarárás hefur frumgerð hetjudáð verið birt sem virka á Ubuntu 22.04. Til að gera árás verður árásarmaðurinn að vera innan Bluetooth-sviðs—forpörun er ekki nauðsynleg, en Bluetooth verður að vera virkt á tölvunni. Fyrir árás er nóg að vita MAC vistfang tækis fórnarlambsins, sem hægt er að ákvarða með þefa eða, á sumum tækjum, reiknað út frá Wi-Fi MAC vistfangi.
Fyrsta varnarleysið (CVE-2022-42896) stafar af aðgangi að þegar losað minnissvæði (nota-eftir-frjáls) í útfærslu á l2cap_connect og l2cap_le_connect_req aðgerðunum - eftir að hafa búið til rás í gegnum new_connection svarhringingu, var læsing ekki stillt fyrir það, en tímamælir var stilltur (__set_chan_timer ), þegar fresturinn rann út, kallaði á l2cap_chan_timeout aðgerðina og hreinsaði rásina án þess að athuga hvort vinnu með rásinni væri lokið í l2cap_le_connect* aðgerðunum.
Sjálfgefinn tími er 40 sekúndur og var gert ráð fyrir að keppnisástand gæti ekki komið upp með slíkri töf, en það kom í ljós að vegna annarrar villu í SMP stjórnanda var hægt að ná samstundiskalli í tímamæli og ná keppnisástand. Vandamál í l2cap_le_connect_req getur leitt til kjarnaminnisleka og í l2cap_connect getur það leitt til þess að yfirskrifa innihald minnis og keyra kóða þess. Fyrri tegund árásar er hægt að framkvæma með því að nota Bluetooth LE 4.0 (síðan 2009), sú seinni með því að nota Bluetooth BR/EDR 5.2 (frá 2020).
Annað varnarleysið (CVE-2022-42895) stafar af minnisleka í l2cap_parse_conf_req aðgerðinni, sem hægt er að nota til að fá upplýsingar um fjarvísanir um vísbendingar um kjarnabyggingar með því að senda sérstaklega útbúnar stillingarbeiðnir. l2cap_parse_conf_req aðgerðin notaði l2cap_conf_efs uppbygginguna, sem úthlutað minni var ekki fyrirfram frumstillt fyrir og með því að vinna með FLAG_EFS_ENABLE fánann var hægt að hafa gömul gögn úr staflanum í pakkanum. Vandamálið birtist aðeins á kerfum þar sem kjarninn er byggður með CONFIG_BT_HS valkostinum (sjálfgefið óvirkt, en virkt í sumum dreifingum, eins og Ubuntu). Vel heppnuð árás krefst þess einnig að HCI_HS_ENABLED færibreytan í gegnum stjórnunarviðmótið sé stillt á satt (ekki notað sjálfgefið).
Heimild: opennet.ru