vulnerabilitas (CVE-2021-4122) notata est in involucro Cryptsetup, ad encryptas disci partitiones in Linux adhibita, quae encryptionem patitur in partitionibus in LUKS2 (Linux Key Setup) debilitari forma metadata modificando. Ad vulnerabilitatem abutendi, oppugnator physicam accessum ad media encrypta habere debet, i.e. Modus sensus maxime efficit ut machinas repositiones externas encryptas aggrediantur, sicut Flash impellit, ad quem oppugnator accessum habet, sed tesseram minuendae notitiae ignorans.
Impetum solum pro forma LUKS2 convenit et cum manipulatione metadatae authoris ad activum "reencryptionis" extensionis coniungitur, quod sinit, si necesse est clavis accessum mutare, processus notitiarum reencryptionis in musca inchoare. sine intermissione operis partitione. Cum processus decryptionis et encryptionis cum nova clave multum temporis accipit, "reencryption online" permittit ne opus interrumpere cum partitione ac re-encryptione in curriculo perficiatur, paulatim rursus encrypting notitias ab uno clave ad alterum . Potest etiam clavem scopum inanem eligere, quae sectionem in formam decryptam convertere sinit.
Oppugnator potest mutare metadata LUKS2 qui abortum decryptionis operandi simulant propter defectum et decryptionem partis partitionis post activationem et usum mutationis coegi a domino. In hoc casu, utentis qui mutationi coegi coniungit et cum recta tessera reseravit, monitionem non accipit de processu reencryptionis interruptae operationis restituendae et solum invenire potest de progressu huius operationis utens "luks Dump". mandatum. Moles notitiarum quam oppugnator minui potest ex magnitudine capitis LUKS2 dependet, sed in magnitudine default (16 MiB) excedere 3 GB potest.
Problema causatur ex eo quod, licet re-encryption requirit calculi et examinandi hashes novarum et veteris clavium, nulla non requiritur ad decryptionem incipere si novus status absentiam clavem ad encryptionem planitextam importat. Praeterea metadata LUKS2, quae encryptionem algorithm designat, a modificatione non custoditur si in manus oppugnantis incidit. Ad vulnerabilitatem claudendam, tincidunt additae tutelae metadatae LUKS2 additae sunt, cui additamentum Nullam nunc sedatur, calculi ex notis clavium et metadatarum contentis, i.e. oppugnator non potest iam surreptione metadata mutare sine scitu decryption password.
Impugnatio typica missionis requirit ut oppugnator manus suas in multiplici tempore pellere possit. Primum, oppugnator qui ignoro accessum ignorat, ad metadatam aream facit mutationes, excitato decryptione partis notitiae proximo tempore coegi reducitur. Coegi tunc in locum suum revertitur et oppugnator exspectat dum usor eam per tesseram intrando coniungit. Cum fabrica ab utentis excitatur, processus re-encryptionis background incepit, inter quae pars notitiarum encryptarum cum decrypted notitia reponitur. Praeterea, si percussor procurat, ut manus in fabrica iterum recipiat, aliqua notitia in incessu erit in forma decrypta.
Problema a assertore projecto cryptetup notatum est et in cryptsetup 2.4.3 et 2.3.7 updates infixum est. Status updates generatur ut quaestionem in distributionibus figere possit in his paginis investigari: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Vulnerabilitas tantum apparet ex emissione cryptsetup 2.2.0, quae subsidium "reencryptionis online" operationis induxit. Ut habemus in praesidio, deductis optione "--disable-luks2-reencryptionis" adhiberi potest.
Source: opennet.ru