Өзөгүндө Linux OverlayFS файл системасын ишке ашырууда алсыздык (CVE-2023-0386) аныкталды, аны FUSE кичи системасы орнотулган системаларда root мүмкүнчүлүгүн алуу жана OverlayFS бөлүмдөрүн артыкчылыксыз колдонуучуга (ядродон баштап) орнотууга мүмкүндүк берүү үчүн колдонсо болот. Linux 5.11 с включением непривилегированных user namespace). Проблема устранена в ветке ядра 6.2. Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
Чабуул setgid/setuid желектери бар файлдарды nosuid режиминде орнотулган бөлүмдөн suid файлдарын аткарууга мүмкүндүк берген бөлүм менен байланышкан катмары бар OverlayFS бөлүгүнө көчүрүү аркылуу ишке ашырылат. Алсыздык 2021-жылы аныкталган CVE-3847-2021 маселесине жакын, бирок эксплуатациялоо талаптары төмөн - эски маселе xattrs менен манипуляцияны талап кылган, ал колдонуучунун аттар мейкиндигин колдонууда чектелген жана жаңы маселе setgid/setuid биттерин колдонот, алар колдонуучу аттар мейкиндигинде атайын иштетилбейт.
Чабуул алгоритми:
- FUSE подсистемасынын жардамы менен файл системасы орнотулган, анда бардык колдонуучуларга жазуу үчүн жеткиликтүү, setuid/setgid желектери бар түпкү колдонуучуга таандык аткарылуучу файл бар. Монтаждоодо FUSE режимди "nosuid" режимине коёт.
- Колдонуучу/монтаждоо аттар мейкиндиктери бөлүшүлбөйт.
- OverlayFS орнотулуп, FUSE ичинде мурда түзүлгөн FS төмөнкү катмар жана жазылуучу каталогдун негизинде үстүнкү катмар катары көрсөтүлөт. Үстүнкү катмар каталогу аны орнотууда “nosuid” желекчесин колдонбогон файл тутумунда жайгашуусу керек.
- FUSE бөлүмүндөгү suid файлы үчүн сенсордук программа өзгөртүү убактысын өзгөртөт, бул анын OverlayFS жогорку катмарына көчүрүлүшүнө алып келет.
- Көчүрүү учурунда ядро setgid/setuid желектерин алып салбайт, натыйжада файл setgid/setuid иштетүүгө мүмкүндүк берген бөлүмдө пайда болот.
- Түпкү укуктарды алуу үчүн, OverlayFS жогорку катмарына тиркелген каталогдон setgid/setuid желектери менен файлды иштетиңиз.
Дополнительно можно отметить раскрытие исследователями из команды Google Project Zero сведений о трёх уязвимостях, которые были исправлены в основной ветке ядра Linux 5.15, но не были перенесены в пакеты с ядром из RHEL 8.x/9.x и CentOS 9-агым.
- CVE-2023-1252 – Ext4 файл тутумунун үстүнө жайгаштырылган OverlayFSде бир эле учурда бир нече операцияларды аткарууда ovl_aio_req түзүмүндө мурунтан эле бошотулган эс тутум аймагына кирүү. Потенциалдуу түрдө, алсыздык системадагы артыкчылыктарыңызды көбөйтүүгө мүмкүндүк берет.
- CVE-2023-0590 - qdisc_graft() функциясында бошогон эстутумга кирүү. Операция анормалдуу токтотуу менен чектелет деп болжолдонууда.
- CVE-2023-1249 coredump жазуу кодунда мурдатан бошоп калган эстутумга кирүү файл_files_note ичиндеги mmap_lock үчүн кабыл алынбай калган чалуудан улам пайда болот. Операция анормалдуу токтотуу менен чектелет деп болжолдонууда.
Source: opennet.ru
