Singula vulnerabilitatis (CVE-2022-0492) in exsequendis cgroups v1 resource limitationis mechanismi in nucleo Linux, quae adhiberi potest ut vascula solitaria effugere, detecta sunt. Problema praesens fuit cum Linux nucleo 2.6.24 et in nucleo emissus 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266, et 4.9.301. Editiones paginarum sarcinarum in distributionibus in his paginis sequi potes: Debian, SUSE, Ubuntu, REL, Fedora, Gentoo, Arch Linux.
vulnerabilitas ex errore logicae in emission_agente lima tracto qui non exercet proprias compescmenta cum currit tracto cum plena privilegiis. Scapus emissio_agentorum ad nucleum perficiendum programma definire adhibetur cum processus in cgroup terminatur. Haec progressio ut radix et cum omnibus Β« facultatibus Β» in spatio spatii radicibus decurrit. Ponebatur solum administratorem accessum ad occasum remissionis agentis habuisse, re vera autem pressiones limitatae sunt ad accessum ad usorem radicis concedendum, quae occasus mutari a continente vel ab usore radicis sine iuribus administratoribus non exclusit (CAP_SYS_ADMIN. ).
Antea, talis pluma vulnerabilitas non percepta esset, sed res in usu spatiorum usoris (nominum usorum) adveniente mutata sunt, quae permittunt te creare utentes radicem separatam in vasis quae cum usore radicis usoris non transiliunt. consectetur elit. Itaque ad oppugnationem satis est tracto dimissione_agente tuo coniungere in vase quod radicem suam habet in usuario separato ID spatio, quod, expleto processu, cum privilegiis praecipuorum ambitus agetur.
Defalta, cgroupfs annectitur in vase solum modo legitur, sed dubium non est removere hanc pseudofs in scribendo modum si iura habes CAP_SYS_ADMIN vel creando nidum receptaculum cum spatiis usoris separato utendo vocationis discalceati, in quo CAP_SYS_ADMIN iura pro vase creato praesto sunt.
Oppugnatio peragi potest, si privilegia radicem habes in vase solitario vel in vase currens sine vexillo no_new_privs, quod vetat impetrare privilegia addita. Systema subsidium usoris spatiis nominalibus parari debet (expedita defectione in Ubuntu et Fedora, sed in Debian et RHEL non reducitur) et accessum ad radicem cgroup v1 (exempli gratia: Docker vascula in radice RDMA cgroup currit). Oppugnatio etiam fieri potest si privilegia CAP_SYS_ADMIN habes, quo casu subsidia nominum usorum et accessus ad hierarchiam radicis v1 cgroup non requiritur.
Praeter e vase solitario evitando, vulnerabilitas etiam processus permittit processus ab usore radicis immissi sine "capabilities" vel usor aliquo cum iure CAP_DAC_VERRIDE (impetum postulat accessum ad limam /sys/fs/cgroup/*/release_agentem, qui est. radix possidetur) aditus ad omnes systemicas Β« facultates Β» accedat.
Notatur vulnerabilitas non posse abutendum cum Seccomp, AppArmor vel SELinux machinationes tutelae usui adiectis continentium solitariis, cum Seccomp impedit aditus ad vocatus systematis dissociabilius, et AppArmor et SELinux non sinunt ascendere cgroupfs in scribendi modo.
Source: opennet.ru