Zwou Schwachstelle goufen am Linux-Kernel entdeckt. Dës Schwachstelle sinn ähnlech wéi d'Copy Fail-Schwachstelle, déi virun e puer Deeg opgedeckt gouf, awer si betreffen ënnerschiddlech Ënnersystemer - xfrm-ESP an RxRPC. Dës Serie vu Schwachstelle kritt de Codenumm Dirty Frag (och als Copy Fail 2 bezeechent). Dës Schwachstelle erlaben et engem onprivilegéierte Benotzer, Root-Privilegien ze kréien, andeems hien Prozessdaten am Säitecache iwwerschreift. Et gëtt en Exploit, deen op all aktuellen Linux-Distributiounen funktionéiert. D'Schwachstelle gouf virum Verëffentlechung vu Patches opgedeckt, awer et gëtt eng Workaround-Léisung.
Dirty Frag deckt zwou verschidde Schwachstelle of: déi éischt am xfrm-ESP Modul, deen benotzt gëtt fir IPsec Verschlësselungsoperatiounen mat dem ESP (Encapsulating Security Payload) Protokoll ze beschleunegen, an déi zweet am RxRPC Treiber, deen d'AF_RXRPC Socket Famill an den RPC Protokoll mam selwechten Numm implementéiert, a leeft iwwer UDP. All Schwachstelle, separat geholl, erlaabt Root-Privilegien. D'xfrm-ESP Schwachstelle ass zënter Januar 2017 am Linux Kernel präsent, an d'RxRPC Schwachstelle ass zënter Juni 2023 präsent. Béid Problemer ginn duerch Optimiséierungen verursaacht, déi direkt Schreiwen an de Säitecache erlaben.
Fir d'xfrm-ESP Schwachstelle auszenotzen, muss de Benotzer d'Erlaabnis hunn, Namespaces ze kreéieren, a fir d'RxRPC Schwachstelle auszenotzen, muss de rxrpc.ko Kernelmodul gelueden ginn. Zum Beispill, an Ubuntu verhënneren d'AppArmor-Regele datt net privilegéiert Benotzer Namespaces erstellen, awer de rxrpc.ko Modul gëtt standardméisseg gelueden. E puer Distributiounen feelen de rxrpc.ko Modul, awer blockéieren d'Erstelle vun Namespaces net. De Fuerscher, deen de Problem entdeckt huet, huet en kombinéierten Exploit entwéckelt, deen de System duerch béid Schwachstelle attackéiere kann, sou datt et méiglech ass, de Problem op alle grousse Verdeelungen auszenotzen. Den Exploit funktionéiert op Ubuntu 24.04.4 mam Kernel 6.17.0-23, RHEL 10.1 mam Kernel 6.12.0-124.49.1, openSUSE Tumbleweed mam Kernel 7.0.2-1, CentOS Stream 10 mam Kernel 6.12.0-224, AlmaLinux 10 mam Kernel 6.12.0-124.52.3, a Fedora 44 mam Kernel 6.19.14-300.
Wéi bei der Schwachstelle "Copy Fail" ginn d'Problemer am xfrm-ESP an RxRPC duerch In-Place-Datenentschlësselung mat Hëllef vun der splice()-Funktioun verursaacht, déi Daten tëscht Dateideskriptoren a Pipes ouni Kopéiere transferéiert, andeems Referenzen op Elementer am Säitecache weiderginn ginn. Schreifoffsets goufen ouni richteg Kontrollen berechent, fir d'Benotzung vun direkten Referenzen op Elementer am Säitecache ze berücksichtegen, sou datt speziell erstallte Ufroen 4 Bytes bei engem bestëmmten Offset iwwerschreiwe konnten an den Inhalt vun all Datei am Säitecache änneren konnten.
All Dateiliesoperatiounen lueden als éischt den Inhalt aus dem Säitecache of. Wann d'Donnéeën am Säitecache geännert ginn, ginn d'Dateliesoperatiounen ersat Daten zréck, net déi tatsächlech Informatiounen, déi um Drive gespäichert sinn. D'Ausnotzung vun der Schwachstelle kënnt drop eraus, de Säitecache fir eng ausführbar Datei mam root-Flag "suid" z'änneren. Zum Beispill, fir Root-Privilegien ze kréien, kéint een déi ausführbar Datei /usr/bin/su liesen, fir se am Säitecache ze placéieren, an dann säin eegene Code an den Inhalt vun dëser Datei ersetzen, déi am Säitecache gelueden ass. Déi spéider Ausféierung vum Utility "su" féiert dozou, datt déi geännert Kopie aus dem Säitecache an de Speicher gelueden gëtt, net déi ursprénglech ausführbar Datei vum Drive.
D'Verëffentlechung vun der Schwachstelle an d'koordinéiert Verëffentlechung vun de Patches war fir den 12. Mee geplangt, awer wéinst engem Leak mussten d'Informatioune iwwer d'Schwachstelle publizéiert ginn, ier d'Patches verëffentlecht goufen. Enn Abrëll goufen Patches fir rxrpc, ipsec an xfrm op d'ëffentlech Mailinglëscht vun netdev gepost, ouni ze erwähnen, datt se mat der Schwachstelle zesummenhänken. De 5. Mee huet den IPsec-Subsystem-Maintenancer eng Ännerung am netdev Git-Repository mat engem proposéierte Fix am xfrm-esp Modul akzeptéiert. D'Beschreiwung vun der Ännerung war gréisstendeels identesch mat der Beschreiwung vum Problem, deen zu der Copy Fail Schwachstelle am algif_aead Modul gefouert huet. E Sécherheetsfuerscher huet sech fir dëse Fix interesséiert, et fäerdeg bruecht, en funktionéierenden Exploit ze kreéieren an en ze publizéieren, ouni ze wëssen, datt en Embargo géint d'Verëffentlechung vun Informatiounen iwwer de Problem bis den 12. Mee opgezwonge gouf.
Aktualiséierunge mat Fixes fir de Linux Kernel a Kernel-Paketen an Distributiounen sinn nach net publizéiert ginn, awer Patches, déi d'Problemer léisen, sinn verfügbar - xfrm-esp an rxrpc. CVE-Identifikatoren goufen net zougewisen, wat d'Verfollegung vu Pakupdates an Distributiounen komplizéiert mécht. Als Alternativ kënnt Dir d'Luede vun den esp4-, esp6- an rxrpc-Kernelmoduler blockéieren: sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Source: opennet.ru
