🥇Root vulnerability នៅក្នុង Linux kernel និងការបដិសេធសេវាកម្មនៅក្នុង systemd

អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពមកពី Qualys បានបង្ហាញព័ត៌មានលម្អិតអំពីភាពងាយរងគ្រោះចំនួនពីរដែលប៉ះពាល់ដល់ខឺណែលលីនុច និងអ្នកគ្រប់គ្រងប្រព័ន្ធប្រព័ន្ធ។ ភាពងាយរងគ្រោះនៅក្នុងខឺណែល (CVE-2021-33909) អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ក្នុងតំបន់សម្រេចបាននូវការប្រតិបត្តិកូដជាមួយនឹងសិទ្ធិជា root តាមរយៈការរៀបចំថតដែលមានមូលដ្ឋានខ្ពស់។

គ្រោះថ្នាក់នៃភាពងាយរងគ្រោះគឺកាន់តែធ្ងន់ធ្ងរឡើងដោយសារអ្នកស្រាវជ្រាវអាចរៀបចំការកេងប្រវ័ញ្ចការងារដែលដំណើរការលើ Ubuntu 20.04/20.10/21.04, Debian 11 និង Fedora 34 នៅក្នុងការកំណត់លំនាំដើម។ វាត្រូវបានកត់សម្គាល់ថាការចែកចាយផ្សេងទៀតមិនត្រូវបានសាកល្បងទេ ប៉ុន្តែតាមទ្រឹស្តីក៏ងាយនឹងមានបញ្ហា និងអាចត្រូវបានវាយប្រហារផងដែរ។ កូដពេញលេញនៃការកេងប្រវ័ញ្ចត្រូវបានសន្យាថានឹងចេញផ្សាយបន្ទាប់ពីបញ្ហាត្រូវបានលុបចោលនៅគ្រប់ទីកន្លែង ប៉ុន្តែសម្រាប់ពេលនេះមានតែគំរូនៃមុខងារមានកំណត់ប៉ុណ្ណោះដែលអាចប្រើបានដែលបណ្តាលឱ្យប្រព័ន្ធគាំង។ បញ្ហានេះមានតាំងពីខែកក្កដា 2014 ហើយប៉ះពាល់ដល់ការចេញផ្សាយខឺណែលដែលចាប់ផ្តើមពី 3.16។ ការជួសជុលភាពងាយរងគ្រោះត្រូវបានសម្របសម្រួលជាមួយសហគមន៍ និងទទួលយកទៅក្នុងខឺណែលនៅថ្ងៃទី 19 ខែកក្កដា។ ការចែកចាយសំខាន់ៗបានបង្កើតបច្ចុប្បន្នភាពទៅកញ្ចប់ខឺណែលរបស់ពួកគេរួចហើយ (ដេបៀន, អ៊ូប៊ុនទូ, Fedora, RHEL, SUSE, Arch)។

ភាពងាយរងគ្រោះគឺបណ្តាលមកពីការបរាជ័យក្នុងការត្រួតពិនិត្យលទ្ធផលនៃការបំប្លែង size_t ទៅ int មុនពេលធ្វើប្រតិបត្តិការនៅក្នុងកូដ seq_file ដែលបង្កើតឯកសារពីលំដាប់នៃកំណត់ត្រា។ ការខកខានក្នុងការត្រួតពិនិត្យអាចបណ្តាលឱ្យមានការសរសេរទៅសតិបណ្ដោះអាសន្ននៅពេលបង្កើត ម៉ោន និងលុបរចនាសម្ព័ន្ធថតដែលជាប់គ្នាខ្លាំង (ទំហំផ្លូវធំជាង 1 GB)។ ជាលទ្ធផល អ្នកវាយប្រហារអាចសម្រេចបាននូវខ្សែអក្សរ 10-byte "//deleted" ដែលត្រូវបានសរសេរនៅអុហ្វសិតនៃ "-2 GB - 10 bytes" ដែលចង្អុលទៅកាន់តំបន់ដែលនៅពីមុខសតិបណ្ដោះអាសន្នដែលបានបែងចែកភ្លាមៗ។

ការកេងប្រវ័ញ្ចដែលបានរៀបចំតម្រូវឱ្យមានអង្គចងចាំ 5 GB និង 1 លានអ៊ីណូតដោយឥតគិតថ្លៃដើម្បីដំណើរការ។ ការកេងប្រវ័ញ្ចដំណើរការដោយការហៅ mkdir() ដើម្បីបង្កើតឋានានុក្រមនៃថតរងប្រហែលមួយលាន ដើម្បីសម្រេចបាននូវទំហំផ្លូវឯកសារលើសពី 1 GB។ ថតនេះត្រូវបានម៉ោនតាមរយៈ bind-mount ក្នុងចន្លោះឈ្មោះអ្នកប្រើប្រាស់ដាច់ដោយឡែក បន្ទាប់ពីនោះមុខងារ rmdir() ត្រូវបានដំណើរការដើម្បីយកវាចេញ។ ស្របគ្នានោះ ខ្សែស្រឡាយមួយត្រូវបានបង្កើតឡើងដែលផ្ទុកកម្មវិធី eBPF តូចមួយ ដែលត្រូវបានរារាំងនៅដំណាក់កាលបន្ទាប់ពីពិនិត្យមើល eBPF pseudocode ប៉ុន្តែមុនពេលការចងក្រង JIT របស់វា។

នៅក្នុង userid namespace ដែលមិនមានឯកសិទ្ធិ ឯកសារ /proc/self/mountinfo ត្រូវបានបើក ហើយឈ្មោះផ្លូវវែងនៃថតដែលបានភ្ជាប់ត្រូវបានអាន ជាលទ្ធផលដែលខ្សែអក្សរ "//deleted" ត្រូវបានសរសេរទៅកាន់ផ្ទៃមុនពេលចាប់ផ្តើមនៃសតិបណ្ដោះអាសន្ន។ ទីតាំងសម្រាប់ការសរសេរបន្ទាត់ត្រូវបានជ្រើសរើស ដូច្នេះវាសរសេរជាន់លើការណែនាំនៅក្នុងកម្មវិធីដែលបានសាកល្បងរួចហើយ ប៉ុន្តែមិនទាន់បានចងក្រងកម្មវិធី eBPF នៅឡើយ។

បន្ទាប់មកទៀត នៅកម្រិតកម្មវិធី eBPF ការសរសេរចេញពីសតិបណ្ដោះអាសន្នដែលមិនអាចគ្រប់គ្រងបានត្រូវបានបំប្លែងទៅជាសមត្ថភាពគ្រប់គ្រងក្នុងការអាន និងសរសេរទៅកាន់រចនាសម្ព័ន្ធខឺណែលផ្សេងទៀតតាមរយៈការរៀបចំរចនាសម្ព័ន្ធ btf និង map_push_elem ។ ជាលទ្ធផល ការកេងប្រវ័ញ្ចកំណត់ទីតាំងនៃ modprobe_path[] buffer នៅក្នុងអង្គចងចាំខឺណែល ហើយសរសេរជាន់លើផ្លូវ “/sbin/modprobe” នៅក្នុងវា ដែលអនុញ្ញាតឱ្យអ្នកចាប់ផ្តើមការបើកដំណើរការឯកសារដែលអាចប្រតិបត្តិបានណាមួយជាមួយនឹងសិទ្ធិជា root នៅក្នុងព្រឹត្តិការណ៍នៃ request_module() call ដែលត្រូវបានប្រតិបត្តិ ជាឧទាហរណ៍ នៅពេលបង្កើត netlink socket។

អ្នកស្រាវជ្រាវផ្តល់នូវដំណោះស្រាយជាច្រើនដែលមានប្រសិទ្ធភាពសម្រាប់តែការកេងប្រវ័ញ្ចជាក់លាក់មួយប៉ុណ្ណោះ ប៉ុន្តែមិនលុបបំបាត់បញ្ហាដោយខ្លួនឯងនោះទេ។ វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យកំណត់ "/proc/sys/kernel/unprivileged_userns_clone" ទៅ 0 ដើម្បីបិទដំណើរការថតម៉ោននៅក្នុង namespace ID អ្នកប្រើប្រាស់ដាច់ដោយឡែក និង "/proc/sys/kernel/unprivileged_bpf_disabled" ទៅ 1 ដើម្បីបិទដំណើរការផ្ទុកកម្មវិធី eBPF ទៅក្នុងខឺណែល។

គួរកត់សម្គាល់ថាខណៈពេលកំពុងវិភាគការវាយប្រហារជំនួសដែលពាក់ព័ន្ធនឹងការប្រើប្រាស់យន្តការ FUSE ជំនួសឱ្យការចង-mound ដើម្បីដំឡើងថតធំមួយ អ្នកស្រាវជ្រាវបានជួបប្រទះភាពងាយរងគ្រោះមួយផ្សេងទៀត (CVE-2021-33910) ដែលប៉ះពាល់ដល់អ្នកគ្រប់គ្រងប្រព័ន្ធ systemd ។ វាបានប្រែក្លាយថានៅពេលព្យាយាមភ្ជាប់ថតដែលមានទំហំផ្លូវលើសពី 8 MB តាមរយៈ FUSE ដំណើរការចាប់ផ្តើមគ្រប់គ្រង (PID1) អស់អង្គចងចាំជង់ ហើយគាំងដែលធ្វើឱ្យប្រព័ន្ធស្ថិតក្នុងស្ថានភាព "ភ័យស្លន់ស្លោ" ។

បញ្ហាគឺថាប្រព័ន្ធតាមដាន និងញែកមាតិកានៃ /proc/self/mountinfo ហើយដំណើរការចំណុចម៉ោននីមួយៗនៅក្នុងអនុគមន៍ unit_name_path_escape() ដែលអនុវត្តប្រតិបត្តិការ strdupa() ដែលដាក់ទិន្នន័យនៅលើជង់ជាជាងនៅក្នុងអង្គចងចាំដែលបានបែងចែកថាមវន្ត។ . ដោយសារទំហំជង់អតិបរមាត្រូវបានកំណត់តាមរយៈ RLIMIT_STACK ការដំណើរការផ្លូវធំពេកទៅកាន់ចំណុចម៉ោនបណ្តាលឱ្យដំណើរការ PID1 គាំង និងបញ្ឈប់ប្រព័ន្ធ។ សម្រាប់ការវាយប្រហារ អ្នកអាចប្រើម៉ូឌុល FUSE ដ៏សាមញ្ញបំផុត រួមផ្សំជាមួយនឹងការប្រើប្រាស់ថតដែលមានសំបុកខ្ពស់ជាចំណុចម៉ោន ដែលទំហំផ្លូវដែលលើសពី 8 MB ។

បញ្ហាបាននិងកំពុងលេចឡើងចាប់តាំងពី systemd 220 (ខែមេសា 2015) ត្រូវបានជួសជុលរួចហើយនៅក្នុងឃ្លាំងប្រព័ន្ធសំខាន់ និងបានជួសជុលនៅក្នុងការចែកចាយ (Debian, Ubuntu, Fedora, RHEL, SUSE, Arch)។ គួរកត់សម្គាល់ថានៅក្នុងការចេញផ្សាយប្រព័ន្ធ 248 ការកេងប្រវ័ញ្ចមិនដំណើរការទេដោយសារតែកំហុសនៅក្នុងកូដប្រព័ន្ធដែលបណ្តាលឱ្យដំណើរការ /proc/self/mountinfo បរាជ័យ។ វាក៏គួរឱ្យចាប់អារម្មណ៍ផងដែរដែលថានៅឆ្នាំ 2018 ស្ថានភាពស្រដៀងគ្នាមួយបានកើតឡើង ហើយនៅពេលព្យាយាមសរសេរការកេងប្រវ័ញ្ចសម្រាប់ភាពងាយរងគ្រោះ CVE-2018-14634 នៅក្នុងខឺណែលលីនុច អ្នកស្រាវជ្រាវ Qualys បានឆ្លងកាត់ភាពងាយរងគ្រោះសំខាន់ៗចំនួនបីនៅក្នុង systemd ។

ប្រភព: opennet.ru

ភាពងាយរងគ្រោះជា Root នៅក្នុងខឺណែលលីនុច និងការបដិសេធនៃសេវាកម្មនៅក្នុង systemd

បន្ថែមមតិយោបល់ ответОтменить