Cryptsetup топтомунда (CVE-2021-4122) алсыздыгы аныкталган, ал Linux'та диск бөлүктөрүн шифрлөө үчүн колдонулат, ал шифрлөө метаберилиштерди өзгөртүү аркылуу LUKS2 (Linux Unified Key Setup) форматындагы бөлүмдөрдө өчүрүүгө мүмкүндүк берет. Алсыздыкты пайдалануу үчүн чабуулчу шифрленген медиага физикалык мүмкүнчүлүгүнө ээ болушу керек, б.а. Бул ыкма, негизинен, чабуулчу кире алган, бирок маалыматтарды чечмелөө үчүн сырсөздү билбеген Flash дисктер сыяктуу шифрленген тышкы сактагыч түзмөктөргө кол салуу үчүн мааниси бар.
Чабуул LUKS2 форматына гана тиешелүү жана "онлайн кайра шифрлөө" кеңейтүүсүн активдештирүү үчүн жооптуу метаберилиштерди манипуляциялоо менен байланышкан, ал кирүү ачкычын өзгөртүү зарыл болсо, маалыматтарды тез шифрлөө процессин баштоого мүмкүндүк берет. бөлүм менен иштөөнү токтотпостон. Жаңы ачкыч менен шифрлөө жана шифрлөө процесси көп убакытты талап кылгандыктан, "онлайн кайра шифрлөө" бөлүм менен ишти үзгүлтүккө учуратпоого жана фондо кайра шифрлөөнү жүргүзүүгө, акырындык менен маалыматтарды бир ачкычтан экинчисине кайра шифрлөөгө мүмкүндүк берет. . Ошондой эле бош максаттуу ачкычты тандоого болот, ал бөлүмдү шифрленген формага айландырууга мүмкүндүк берет.
Чабуулчу LUKS2 метаберилиштерине өзгөртүүлөрдү киргизе алат, алар бузулуунун натыйжасында чечмелөө операциясынын үзгүлтүккө учурашын симуляциялайт жана ээсинин модификацияланган дискти активдештирүү жана колдонуудан кийин бөлүмдүн бир бөлүгүнүн шифрлөөсүнө жетише алат. Бул учурда, өзгөртүлгөн дискти туташтырган жана аны туура сырсөз менен ачкан колдонуучу үзгүлтүккө учураган кайра шифрлөө операциясын калыбына келтирүү процесси жөнүндө эч кандай эскертүү албайт жана бул операциянын жүрүшү жөнүндө "luks Dump" аркылуу гана биле алат. буйрук. Чабуулчу чече ала турган берилиштердин көлөмү LUKS2 башынын өлчөмүнө жараша болот, бирок демейки өлчөмдө (16 МБ) ал 3 ГБ ашышы мүмкүн.
Көйгөй кайра шифрлөө жаңы жана эски ачкычтардын хэштерин эсептөөнү жана текшерүүнү талап кылса да, эгерде жаңы абал шифрлөө үчүн ачык текст ачкычынын жоктугун билдирсе, шифрлөөнү баштоо үчүн хэш талап кылынбайт. Кошумчалай кетсек, шифрлөө алгоритмин көрсөткөн LUKS2 метаберилиштери чабуулчунун колуна түшүп калса, өзгөртүүдөн корголбойт. Алсыздыкты бөгөттөө үчүн, иштеп чыгуучулар LUKS2ге метаберилиштер үчүн кошумча коргоону кошушту, ал үчүн азыр кошумча хэш текшерилет, белгилүү ачкычтарга жана метаберилиштердин мазмунуна негизделген, б.а. чабуулчу эми шифрлөө сырсөзүн билбестен метадайындарды тымызын өзгөртө албайт.
Кадимки чабуул сценарийи чабуулчудан дискти бир нече жолу ала алгыдай болушун талап кылат. Биринчиден, кирүү сырсөзүн билбеген чабуулчу метадайындар аймагына өзгөртүүлөрдү киргизип, диск кийинки жолу иштетилгенде маалыматтардын бир бөлүгүнүн шифрин чечүүгө түрткү берет. Андан кийин диск өз ордуна кайтарылат жана чабуулчу колдонуучу аны сырсөздү киргизүү менен туташтырганга чейин күтөт. Аппаратты колдонуучу активдештиргенден кийин, фондук кайра шифрлөө процесси башталат, анын жүрүшүндө шифрленген маалыматтардын бир бөлүгү шифрленген маалыматтар менен алмаштырылат. Андан тышкары, эгерде чабуулчу кайрадан түзмөккө колун тийгизе алса, дисктеги айрым маалыматтар шифрленген түрдө болот.
Көйгөй cryptsetup долбоорунун тейлөөчүсү тарабынан аныкталган жана cryptsetup 2.4.3 жана 2.3.7 жаңыртууларында оңдолгон. Бөлүштүрүүдөгү көйгөйдү чечүү үчүн түзүлүп жаткан жаңыртуулардын абалын төмөнкү баракчалардан байкоого болот: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Алсыздык "онлайн кайра шифрлөө" операциясын колдоону киргизген cryptsetup 2.2.0 чыккандан кийин гана пайда болот. Коргоо үчүн убактылуу чечим катары “--disable-luks2-reencryption” опциясы менен ишке киргизүү колдонулушу мүмкүн.
Source: opennet.ru