נקודות תורפה ב-swhkd, מנהל קיצורי דרך עבור Wayland

זוהו סדרה של פגיעויות ב-swhkd (Simple Wayland HotKey Daemon) הנגרמות מעבודה לא נכונה עם קבצים זמניים, פרמטרים של שורת הפקודה ושקעי Unix. התוכנית כתובה ב-Rust ומטפלת בלחיצת מקשי קיצור בסביבות המבוססות על פרוטוקול Wayland (אנלוגי תואם קבצי תצורה של תהליך sxhkd המשמש בסביבות מבוססות X11).

החבילה כוללת תהליך swhks ללא פריבילגיה שמבצע פעולות מקשי קיצור, ותהליך swhkd ברקע שפועל כ-root ומקיים אינטראקציה עם התקני קלט ברמת uinput API. שקע יוניקס משמש לארגון האינטראקציה בין swhks ו- swhkd. באמצעות חוקי Polkit, כל משתמש מקומי יכול להריץ את התהליך /usr/bin/swhkd כשורש ולהעביר אליו פרמטרים שרירותיים.

נקודות תורפה שזוהו:

• CVE-2022-27815 – שמירת PID של תהליך לקובץ עם שם צפוי ובספרייה הניתנת לכתיבה על ידי משתמשים אחרים (/tmp/swhkd.pid). כל משתמש יכול ליצור קובץ /tmp/swhkd.pid ולהכניס בו את ה-pid של תהליך קיים, מה שיגרום ל-swhkd לא להיות מסוגל להתחיל. אם אין הגנה מפני יצירת קישורים סמליים ב-/tmp, ניתן להשתמש בפגיעות כדי ליצור או להחליף קבצים בכל ספריית מערכת (ה-PID נכתב לקובץ) או לקבוע את התוכן של כל קובץ במערכת (swhkd מדפיס את כל התוכן של קובץ ה-PID ל-stdout). ראוי לציין שבתיקון שפורסם קובץ ה-PID הועבר לא לספריית /run, אלא לספריית /etc (/etc/swhkd/runtime/swhkd_{uid}.pid), שם הוא גם לא שייך.
• CVE-2022-27814 - על ידי מניפולציה של אפשרות שורת הפקודה "-c" המשמשת לציון קובץ תצורה, ניתן לקבוע את קיומו של כל קובץ במערכת. לדוגמה, כדי לבדוק את /root/.somefile אתה יכול להפעיל את "pkexec /usr/bin/swhkd -d -c /root/.somefile" ואם הקובץ חסר, השגיאה "/root/.somefile לא קיימת " יוצג. כמו במקרה של הפגיעות הראשונה, תיקון הבעיה הוא תמוה - תיקון הבעיה מסתכם בעובדה שתוכנית השירות החיצונית "cat" ('Command::new(“/bin/cat”)).arg(path) מופעל כעת כדי לקרוא את קובץ התצורה. output()').
• CVE-2022-27819 – הבעיה קשורה גם לשימוש באפשרות "-c", הגורמת לטעינה ולניתוח של כל קובץ התצורה מבלי לבדוק את הגודל והסוג של הקובץ. לדוגמה, כדי לגרום למניעת שירות על ידי אזל הזיכרון הפנוי ויצירת I/O מזויף, אתה יכול לציין התקן חסימה בעת ההפעלה ("pkexec /usr/bin/swhkd -d -c /dev/sda") או מכשיר אופי שמייצר זרם אינסופי של נתונים. הבעיה נפתרה על ידי איפוס ההרשאות לפני פתיחת הקובץ, אך התיקון לא הושלם, מכיוון שרק מזהה המשתמש (UID) מאופס, אך מזהה הקבוצה (GID) נשאר זהה.
• CVE-2022-27818 – שקע יוניקס נוצר באמצעות הקובץ /tmp/swhkd.sock שנוצר בספריה ניתנת לכתיבה, מה שמוביל לבעיות דומות כמו הפגיעות הראשונה (כל משתמש יכול ליצור /tmp/swhkd.sock וליצור או ליירט אירועי לחיצת מקשים).
• CVE-2022-27817 - אירועי קלט מתקבלים מכל המכשירים ובכל הפעלות, כלומר. משתמש מהפעלה אחרת של Wayland או מהמסוף יכול ליירט אירועים כאשר משתמשים אחרים לוחצים על מקשי קיצור.
• CVE-2022-27816 תהליך swhks, כמו swhkd, משתמש בקובץ ה-PID /tmp/swhks.pid בספריית /tmp הניתנת לכתיבה. הבעיה דומה לפגיעות הראשונה, אך אינה מסוכנת כל כך מכיוון ש-swhks פועל תחת משתמש חסר הרשאות.

מקור: OpenNet.ru