Di pakêta Cryptsetup de qelsiyek (CVE-2021-4122) hate nas kirin, ku ji bo şîfrekirina dabeşên dîskê li Linux-ê tê bikar anîn, ku dihêle şîfrekirin li ser dabeşên di formata LUKS2 (Linux Unified Key Setup) bi guheztina metadata were neçalak kirin. Ji bo îstismarkirina qelsiyê, êrîşkar divê xwedan gihandina laşî ya medyaya şîfrekirî be, ango. Rêbaz bi taybetî ji bo êrişkirina amûrên hilanînê yên derveyî yên şîfrekirî, wek ajokarên Flash-ê, ku êrîşkar gihîştina wan heye, lê şîfreya şîfreya daneyan nizane, tê wateya.
Êrîş tenê ji bo formata LUKS2 ve girêdayî ye û bi manîpulekirina metadata ku berpirsiyarê çalakkirina dirêjkirina "ji nû ve şîfrekirina serhêl" ve girêdayî ye, ku dihêle, ger hewce be ku mifteya gihîştinê biguhezîne, pêvajoya şîfrekirina daneyan li ser firînê bide destpêkirin. bêyî rawestandina xebata bi dabeşkirinê. Ji ber ku pêvajoya deşîfrekirin û şîfrekirina bi mifteyek nû gelek wext digire, "ji nû ve şîfrekirina serhêl" gengaz dike ku xebata bi dabeşkirinê re qut nebe û di paşerojê de ji nû ve şîfrekirinê pêk bîne, hêdî hêdî daneyan ji yek mifteyek din ji nû ve şîfre bike. . Di heman demê de gengaz e ku meriv mifteyek armancek vala hilbijêrin, ku destûrê dide te ku hûn beşê veguherînin formek deşîfrekirî.
Êrîşkarek dikare di metadata LUKS2 de guheztinan bike ku ji ber têkçûnekê betalkirina operasyona deşîfrekirinê simule dike û piştî aktîvkirin û karanîna ajokera guhezbar ji hêla xwedan ve, deşîfrekirina beşek dabeşkirinê bi dest dixe. Di vê rewşê de, bikarhênerê ku ajokera guhertî ve girêdayî ye û ew bi şîfreya rast vekiriye, di derbarê pêvajoya vegerandina operasyona ji nû ve şîfrekirinê ya qutkirî de hişyariyek nagire û tenê dikare bi karanîna "luks Dump" li ser pêşveçûna vê operasyonê fêr bibe. ferman. Hêjmara daneyên ku êrîşkar dikare şîfre bike bi mezinahiya sernavê LUKS2 ve girêdayî ye, lê di mezinahiya xwerû (16 MiB) de ew dikare ji 3 GB derbas bibe.
Pirsgirêk ji ber vê yekê çêdibe ku her çend ji nû ve şîfrekirin hewcedarî hesabkirin û verastkirina haşeyên mifteyên nû û kevn e jî, ji bo destpêkirina deşîfrekirinê haşek ne hewce ye ku heke dewleta nû ji bo şîfrekirinê nebûna mifteyek nivîsê ya zelal nîşan bide. Wekî din, metadata LUKS2, ku algorîtmaya şîfrekirinê diyar dike, heke bikeve destê êrîşkerek ji guhartinê nayê parastin. Ji bo astengkirina qelsiyê, pêşdebiran ji bo metadata parastina zêde li LUKS2 zêde kirin, ji bo ku nuha haşek zêde tê kontrol kirin, li ser bingeha bişkokên naskirî û naverokên metadata têne hesibandin, ango. êrîşkar êdî nikare bi dizî metadata biguhere bêyî ku şîfreya deşîfrekirinê zanibe.
Senaryoyek êrîşê ya tîpîk hewce dike ku êrîşkar karibe gelek caran destên xwe bigihîne ajotinê. Pêşîn, êrîşkarek ku şîfreya gihîştinê nizane di qada metadata de guheztinan çêdike, dema ku ajoker were aktîfkirin deşîfrekirina beşek daneyê vedike. Dûv re ajoker vedigere cîhê xwe û êrîşkar li bendê dimîne ku bikarhêner bi şîfreyek têkevin wê girêbide. Dema ku amûr ji hêla bikarhêner ve tê çalak kirin, pêvajoyek ji nû ve-şîfrekirina paşnavê dest pê dike, di dema ku beşek ji daneyên şîfrekirî bi daneyên deşîfrekirî têne guhertin. Zêdetir, heke êrîşkar karibe careke din destê xwe bigihîne cîhazê, hin daneyên li ser ajokerê dê di forma deşîfre de bin.
Pirsgirêk ji hêla parêzgerê projeya cryptsetup ve hate nas kirin û di nûvekirinên cryptsetup 2.4.3 û 2.3.7 de hate rast kirin. Rewşa nûvekirinên ku ji bo çareserkirina pirsgirêkê di belavkirinan de têne çêkirin dikarin li ser van rûpelan werin şopandin: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Qelsî tenê ji ber serbestberdana cryptsetup 2.2.0, ku piştgirî ji bo operasyona "ji nû ve şîfrekirina serhêl" destnîşan kir, xuya dike. Wekî çareyek ji bo parastinê, destpêkirina bi vebijarka "--neçalak-luks2-ji nû ve şîfrekirinê" dikare were bikar anîn.
Source: opennet.ru