ಕ್ರಿಪ್ಟ್ಸೆಟಪ್ ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು (CVE-2021-4122) ಗುರುತಿಸಲಾಗಿದೆ, ಲಿನಕ್ಸ್ನಲ್ಲಿ ಡಿಸ್ಕ್ ವಿಭಾಗಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ಮೆಟಾಡೇಟಾವನ್ನು ಮಾರ್ಪಡಿಸುವ ಮೂಲಕ LUKS2 (ಲಿನಕ್ಸ್ ಯೂನಿಫೈಡ್ ಕೀ ಸೆಟಪ್) ಫಾರ್ಮ್ಯಾಟ್ನಲ್ಲಿನ ವಿಭಾಗಗಳಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲು, ಆಕ್ರಮಣಕಾರರು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಮಾಧ್ಯಮಕ್ಕೆ ಭೌತಿಕ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರಬೇಕು, ಅಂದರೆ. ಈ ವಿಧಾನವು ಮುಖ್ಯವಾಗಿ ಫ್ಲ್ಯಾಶ್ ಡ್ರೈವ್ಗಳಂತಹ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಬಾಹ್ಯ ಶೇಖರಣಾ ಸಾಧನಗಳನ್ನು ಆಕ್ರಮಣ ಮಾಡಲು ಅರ್ಥಪೂರ್ಣವಾಗಿದೆ, ದಾಳಿಕೋರರು ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುತ್ತಾರೆ ಆದರೆ ಡೇಟಾವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಪಾಸ್ವರ್ಡ್ ತಿಳಿದಿಲ್ಲ.
ದಾಳಿಯು LUKS2 ಫಾರ್ಮ್ಯಾಟ್ಗೆ ಮಾತ್ರ ಅನ್ವಯಿಸುತ್ತದೆ ಮತ್ತು "ಆನ್ಲೈನ್ ರೀಎನ್ಕ್ರಿಪ್ಶನ್" ವಿಸ್ತರಣೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಜವಾಬ್ದಾರರಾಗಿರುವ ಮೆಟಾಡೇಟಾದ ಕುಶಲತೆಗೆ ಸಂಬಂಧಿಸಿದೆ, ಇದು ಪ್ರವೇಶ ಕೀಲಿಯನ್ನು ಬದಲಾಯಿಸಲು ಅಗತ್ಯವಿದ್ದರೆ, ಫ್ಲೈನಲ್ಲಿ ಡೇಟಾ ಮರುಕ್ರಿಪ್ಶನ್ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ವಿಭಜನೆಯೊಂದಿಗೆ ಕೆಲಸವನ್ನು ನಿಲ್ಲಿಸದೆ. ಹೊಸ ಕೀಲಿಯೊಂದಿಗೆ ಡೀಕ್ರಿಪ್ಶನ್ ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಶನ್ ಪ್ರಕ್ರಿಯೆಯು ಸಾಕಷ್ಟು ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುವುದರಿಂದ, “ಆನ್ಲೈನ್ ಮರುಕ್ರಿಪ್ಶನ್” ವಿಭಾಗದೊಂದಿಗೆ ಕೆಲಸವನ್ನು ಅಡ್ಡಿಪಡಿಸದಂತೆ ಮತ್ತು ಹಿನ್ನೆಲೆಯಲ್ಲಿ ಮರು-ಎನ್ಕ್ರಿಪ್ಶನ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ, ಕ್ರಮೇಣ ಡೇಟಾವನ್ನು ಒಂದು ಕೀಲಿಯಿಂದ ಇನ್ನೊಂದಕ್ಕೆ ಮರು-ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ. . ಖಾಲಿ ಗುರಿ ಕೀಲಿಯನ್ನು ಆಯ್ಕೆ ಮಾಡಲು ಸಹ ಸಾಧ್ಯವಿದೆ, ಇದು ವಿಭಾಗವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ರೂಪಕ್ಕೆ ಪರಿವರ್ತಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಆಕ್ರಮಣಕಾರನು LUKS2 ಮೆಟಾಡೇಟಾದಲ್ಲಿ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಬಹುದು, ಅದು ವೈಫಲ್ಯದ ಪರಿಣಾಮವಾಗಿ ಡೀಕ್ರಿಪ್ಶನ್ ಕಾರ್ಯಾಚರಣೆಯ ಸ್ಥಗಿತವನ್ನು ಅನುಕರಿಸುತ್ತದೆ ಮತ್ತು ಮಾಲೀಕರಿಂದ ಮಾರ್ಪಡಿಸಿದ ಡ್ರೈವ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ ಮತ್ತು ಬಳಸಿದ ನಂತರ ವಿಭಾಗದ ಭಾಗದ ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಸಾಧಿಸುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಮಾರ್ಪಡಿಸಿದ ಡ್ರೈವ್ ಅನ್ನು ಸಂಪರ್ಕಪಡಿಸಿದ ಮತ್ತು ಸರಿಯಾದ ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ಅದನ್ನು ಅನ್ಲಾಕ್ ಮಾಡಿದ ಬಳಕೆದಾರರು ಅಡಚಣೆಗೊಂಡ ಮರುಕ್ರಿಪ್ಶನ್ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಮರುಸ್ಥಾಪಿಸುವ ಪ್ರಕ್ರಿಯೆಯ ಬಗ್ಗೆ ಯಾವುದೇ ಎಚ್ಚರಿಕೆಯನ್ನು ಸ್ವೀಕರಿಸುವುದಿಲ್ಲ ಮತ್ತು "ಲಕ್ಸ್ ಡಂಪ್" ಅನ್ನು ಬಳಸಿಕೊಂಡು ಈ ಕಾರ್ಯಾಚರಣೆಯ ಪ್ರಗತಿಯನ್ನು ಮಾತ್ರ ಕಂಡುಹಿಡಿಯಬಹುದು. ಆಜ್ಞೆ. ಆಕ್ರಮಣಕಾರರು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಬಹುದಾದ ಡೇಟಾದ ಪ್ರಮಾಣವು LUKS2 ಹೆಡರ್ನ ಗಾತ್ರವನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ, ಆದರೆ ಡೀಫಾಲ್ಟ್ ಗಾತ್ರದಲ್ಲಿ (16 MiB) ಇದು 3 GB ಯನ್ನು ಮೀರಬಹುದು.
ಮರು-ಎನ್ಕ್ರಿಪ್ಶನ್ಗೆ ಹೊಸ ಮತ್ತು ಹಳೆಯ ಕೀಗಳ ಹ್ಯಾಶ್ಗಳನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡುವ ಮತ್ತು ಪರಿಶೀಲಿಸುವ ಅಗತ್ಯವಿದ್ದರೂ, ಹೊಸ ಸ್ಥಿತಿಯು ಎನ್ಕ್ರಿಪ್ಶನ್ಗಾಗಿ ಪ್ಲೇನ್ಟೆಕ್ಸ್ಟ್ ಕೀ ಇಲ್ಲದಿರುವುದನ್ನು ಸೂಚಿಸಿದರೆ ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲು ಹ್ಯಾಶ್ ಅಗತ್ಯವಿಲ್ಲ ಎಂಬ ಅಂಶದಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ. ಇದರ ಜೊತೆಗೆ, ಎನ್ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ LUKS2 ಮೆಟಾಡೇಟಾ, ಆಕ್ರಮಣಕಾರರ ಕೈಗೆ ಬಿದ್ದರೆ ಮಾರ್ಪಾಡಿನಿಂದ ರಕ್ಷಿಸಲ್ಪಡುವುದಿಲ್ಲ. ದುರ್ಬಲತೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು, ಡೆವಲಪರ್ಗಳು LUKS2 ಗೆ ಮೆಟಾಡೇಟಾಗೆ ಹೆಚ್ಚುವರಿ ರಕ್ಷಣೆಯನ್ನು ಸೇರಿಸಿದ್ದಾರೆ, ಇದಕ್ಕಾಗಿ ಹೆಚ್ಚುವರಿ ಹ್ಯಾಶ್ ಅನ್ನು ಈಗ ಪರಿಶೀಲಿಸಲಾಗಿದೆ, ತಿಳಿದಿರುವ ಕೀಗಳು ಮತ್ತು ಮೆಟಾಡೇಟಾ ವಿಷಯಗಳ ಆಧಾರದ ಮೇಲೆ ಲೆಕ್ಕಹಾಕಲಾಗುತ್ತದೆ, ಅಂದರೆ. ಆಕ್ರಮಣಕಾರರು ಇನ್ನು ಮುಂದೆ ಡೀಕ್ರಿಪ್ಶನ್ ಪಾಸ್ವರ್ಡ್ ತಿಳಿಯದೆ ಮೆಟಾಡೇಟಾವನ್ನು ಗುಟ್ಟಾಗಿ ಬದಲಾಯಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ.
ಒಂದು ವಿಶಿಷ್ಟವಾದ ದಾಳಿಯ ಸನ್ನಿವೇಶಕ್ಕೆ ಆಕ್ರಮಣಕಾರರು ತಮ್ಮ ಕೈಗಳನ್ನು ಡ್ರೈವ್ನಲ್ಲಿ ಹಲವು ಬಾರಿ ಪಡೆಯಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. ಮೊದಲನೆಯದಾಗಿ, ಪ್ರವೇಶ ಪಾಸ್ವರ್ಡ್ ತಿಳಿದಿಲ್ಲದ ಆಕ್ರಮಣಕಾರರು ಮೆಟಾಡೇಟಾ ಪ್ರದೇಶಕ್ಕೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡುತ್ತಾರೆ, ಮುಂದಿನ ಬಾರಿ ಡ್ರೈವ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ ಡೇಟಾದ ಭಾಗದ ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಪ್ರಚೋದಿಸುತ್ತದೆ. ನಂತರ ಡ್ರೈವ್ ಅನ್ನು ಅದರ ಸ್ಥಳಕ್ಕೆ ಹಿಂತಿರುಗಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಬಳಕೆದಾರರು ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸುವ ಮೂಲಕ ಅದನ್ನು ಸಂಪರ್ಕಿಸುವವರೆಗೆ ಆಕ್ರಮಣಕಾರರು ಕಾಯುತ್ತಾರೆ. ಬಳಕೆದಾರರಿಂದ ಸಾಧನವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ, ಹಿನ್ನೆಲೆ ಮರು-ಎನ್ಕ್ರಿಪ್ಶನ್ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗುತ್ತದೆ, ಈ ಸಮಯದಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಡೇಟಾದ ಭಾಗವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಡೇಟಾದೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗುತ್ತದೆ. ಇದಲ್ಲದೆ, ಆಕ್ರಮಣಕಾರರು ಮತ್ತೆ ಸಾಧನದಲ್ಲಿ ತನ್ನ ಕೈಗಳನ್ನು ಪಡೆಯಲು ನಿರ್ವಹಿಸಿದರೆ, ಡ್ರೈವ್ನಲ್ಲಿನ ಕೆಲವು ಡೇಟಾ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ರೂಪದಲ್ಲಿರುತ್ತದೆ.
ಕ್ರಿಪ್ಟ್ಸೆಟಪ್ ಪ್ರಾಜೆಕ್ಟ್ ನಿರ್ವಾಹಕರಿಂದ ಸಮಸ್ಯೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ ಮತ್ತು ಕ್ರಿಪ್ಟ್ಸೆಟಪ್ 2.4.3 ಮತ್ತು 2.3.7 ಅಪ್ಡೇಟ್ಗಳಲ್ಲಿ ಸರಿಪಡಿಸಲಾಗಿದೆ. ವಿತರಣೆಗಳಲ್ಲಿನ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು ನವೀಕರಣಗಳ ಸ್ಥಿತಿಯನ್ನು ಈ ಪುಟಗಳಲ್ಲಿ ಟ್ರ್ಯಾಕ್ ಮಾಡಬಹುದು: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. ಕ್ರಿಪ್ಟ್ಸೆಟಪ್ 2.2.0 ಬಿಡುಗಡೆಯಾದ ನಂತರ ಮಾತ್ರ ದುರ್ಬಲತೆಯು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ, ಇದು "ಆನ್ಲೈನ್ ರೀಎನ್ಕ್ರಿಪ್ಶನ್" ಕಾರ್ಯಾಚರಣೆಗೆ ಬೆಂಬಲವನ್ನು ಪರಿಚಯಿಸಿತು. ರಕ್ಷಣೆಗಾಗಿ ಪರಿಹಾರವಾಗಿ, "--disable-luks2-reencryption" ಆಯ್ಕೆಯೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸುವುದನ್ನು ಬಳಸಬಹುದು.
ಮೂಲ: opennet.ru