Di navikê de Linux выявлена уязвимость (CVE-2022-42896), которая может потенциально использоваться для организации удалённого выполнения кода на уровне ядра через отправку специально оформленного L2CAP-пакета через Bluetooth. Кроме того, выявлена ещё одна похожая проблема (CVE-2022-42895) в обработчике L2CAP, которая может привести к утечке содержимого памяти ядра в пакетах со сведениями о конфигурации. Первая уязвимость проявляется с августа 2014 года (ядро 3.16), а вторая с октября 2011 года (ядро 3.0). Уязвимости устранены в выпусках ядра Linux 6.1.0, 6.0.8, 4.9.333, 4.14.299, 4.19.265, 5.4.224, 5.10.154 и 5.15.78. Проследить за исправлением в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
Для демонстрации возможности совершения удалённой атаки опубликованы прототипы эксплоитов, работающие в Ubuntu 22.04. Для проведения атаки злоумышленник должен находится в пределах досягаемости Bluetooth — предварительного сопряжения не требуется, но нужно чтобы на компьютере был активен Bluetooth. Для атаки достаточно знать MAC-адрес устройства жертвы, который может быть определён путём снифинга или на некоторых устройствах вычислен на основе MAC-адреса Wi-Fi.
Zehfiya yekem (CVE-2022-42896) ji ber gihandina cîhek bîranîna jixwe azadkirî (bikaranîna-piştî-bêzav) di pêkanîna fonksiyonên l2cap_connect û l2cap_le_connect_req de çêdibe - piştî ku kanalek bi navgîniya vegerandina banga new_connection ve hatî çêkirin, kilît nehat danîn. ji bo wê, lê demjimêrek hate danîn (__set_chan_timer), piştî bidawîbûna demê, bang li fonksiyona l2cap_chan_timeout kir û kanalê paqij kir bêyî ku di fonksiyonên l2cap_le_connect* de temambûna xebata bi kanalê re were kontrol kirin.
Demjimêra xwerû 40 saniye ye û tê texmîn kirin ku rewşek pêşbaziyê bi derengiyek wusa çênabe, lê derket holê ku ji ber xeletiyek din a di hilgirê SMP-ê de, gengaz bû ku meriv bangek tavilê li demjimêrê bi dest bixe û bigihîje rewşa nijadê. Pirsgirêkek di l2cap_le_connect_req de dikare bibe sedema derketina bîranîna kernel, û di l2cap_connect de ew dikare bibe sedema nivîsandina naveroka bîranînê û pêkanîna koda wê. Yekem celebê êrîşê dikare bi karanîna Bluetooth LE 4.0 (ji 2009-an vir ve), ya duyemîn dema ku Bluetooth BR/EDR 5.2 bikar tîne (ji 2020-an ve) were kirin.
Вторая уязвимость (CVE-2022-42895) вызвана утечкой остаточных данных из памяти в функции l2cap_parse_conf_req, что может быть использовано для удалённого получения сведений об указателях на структуры ядра через отправку специально оформленных запросов конфигурации. В функции l2cap_parse_conf_req использовалась структура l2cap_conf_efs, для которой не выполнялась предварительная инициализация выделенной памяти и через манипуляции с флагом FLAG_EFS_ENABLE можно было добиться включения в пакет старых данных из стека. Проблема проявляется только в системах, в которых ядро собрано с опцией CONFIG_BT_HS (по умолчанию отключена, но активирована в некоторых дистрибутивах, например, в Ubuntu). Для успешной атаки также требуется выставление параметра HCI_HS_ENABLED через управляющий интерфейс в значение true (по умолчанию не используется).
Source: opennet.ru
