ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบญเบตเบเบญเบฑเบ™เปœเบถเปˆเบ‡เปƒเบ™เบฅเบฐเบšเบปเบšเบเปˆเบญเบ Linux Netfilter kernel

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบญเบตเบเบญเบฑเบ™เปœเบถเปˆเบ‡เปƒเบ™เบฅเบฐเบšเบปเบšเบเปˆเบญเบ Linux Netfilter kernel

ะ’ ะฟะพะดัะธัั‚ะตะผะต ัะดั€ะฐ Netfilter ะฒั‹ัะฒะปะตะฝะฐ ัƒัะทะฒะธะผะพัั‚ัŒ (CVE-2022-1972), ะฟะพั…ะพะถะฐั ะฝะฐ ะฟั€ะพะฑะปะตะผัƒ ั€ะฐัะบั€ั‹ั‚ัƒัŽ ะฒ ะบะพะฝั†ะต ะผะฐั. ะะพะฒะฐั ัƒัะทะฒะธะผะพัั‚ัŒ ั‚ะฐะบะถะต ะฟะพะทะฒะพะปัะตั‚ ะปะพะบะฐะปัŒะฝะพะผัƒ ะฟะพะปัŒะทะพะฒะฐั‚ะตะปัŽ ะฟะพะปัƒั‡ะธั‚ัŒ ะฟั€ะฐะฒะฐ root ะฒ ัะธัั‚ะตะผะต ั‡ะตั€ะตะท ะผะฐะฝะธะฟัƒะปัั†ะธะธ ั ะฟั€ะฐะฒะธะปะฐะผะธ ะฒ nftables ะธ ั‚ั€ะตะฑัƒะตั‚ ะดะปั ะฟั€ะพะฒะตะดะตะฝะธั ะฐั‚ะฐะบะธ ะดะพัั‚ัƒะฟะฐ ะบ nftables, ะบะพั‚ะพั€ั‹ะน ะผะพะถะฝะพ ะฟะพะปัƒั‡ะธั‚ัŒ ะฒ ะพั‚ะดะตะปัŒะฝะพะผ ะฟั€ะพัั‚ั€ะฐะฝัั‚ะฒะต ะธะผั‘ะฝ (network namespace ะธะปะธ user namespace) ะฟั€ะธ ะฝะฐะปะธั‡ะธะธ ะฟั€ะฐะฒ CLONE_NEWUSER, CLONE_NEWNS ะธะปะธ CLONE_NEWNET (ะฝะฐะฟั€ะธะผะตั€, ะฟั€ะธ ะฒะพะทะผะพะถะฝะพัั‚ะธ ะทะฐะฟัƒัะบะฐ ะธะทะพะปะธั€ะพะฒะฐะฝะฝะพะณะพ ะบะพะฝั‚ะตะนะฝะตั€ะฐ).

ะŸั€ะพะฑะปะตะผะฐ ะฒั‹ะทะฒะฐะฝะฐ ะพัˆะธะฑะบะพะน ะฒ ะบะพะดะต ะดะปั ะพะฑั€ะฐะฑะพั‚ะบะธ set-ัะฟะธัะบะพะฒ ั ะฟะพะปัะผะธ, ะฒะบะปัŽั‡ะฐัŽั‰ะธะผะธ ะฝะตัะบะพะปัŒะบะพ ะดะธะฐะฟะฐะทะพะฝะพะฒ, ะธ ะฟั€ะธะฒะพะดะธั‚ ะบ ะทะฐะฟะธัะธ ะทะฐ ะฟั€ะตะดะตะปั‹ ะฒั‹ะดะตะปะตะฝะฝะพะน ะพะฑะปะฐัั‚ะธ ะฟะฐะผัั‚ะธ ะฟั€ะธ ะพะฑั€ะฐะฑะพั‚ะบะต ัะฟะตั†ะธะฐะปัŒะฝะพ ะพั„ะพั€ะผะปะตะฝะฝั‹ั… ะฟะฐั€ะฐะผะตั‚ั€ะพะฒ ัะฟะธัะบะฐ. ะ˜ััะปะตะดะพะฒะฐั‚ะตะปัะผ ัƒะดะฐะปะพััŒ ะฟะพะดะณะพั‚ะพะฒะธั‚ัŒ ั€ะฐะฑะพั‡ะธะน ัะบัะฟะปะพะธั‚ ะดะปั ะฟะพะปัƒั‡ะตะฝะธั ะฟั€ะฐะฒ root ะฒ Ubuntu 21.10 c ัะดั€ะพะผ 5.13.0-39-generic. ะฃัะทะฒะธะผะพัั‚ัŒ ะฟั€ะพัะฒะปัะตั‚ัั ะฝะฐั‡ะธะฝะฐั ั ัะดั€ะฐ 5.6. ะ˜ัะฟั€ะฐะฒะปะตะฝะธะต ะฟั€ะตะดะปะพะถะตะฝะพ ะฒ ะฒะธะดะต ะฟะฐั‚ั‡ะฐ. ะ”ะปั ะฑะปะพะบะธั€ะพะฒะฐะฝะธั ัะบัะฟะปัƒะฐั‚ะฐั†ะธะธ ัƒัะทะฒะธะผะพัั‚ะธ ะฒ ะพะฑั‹ั‡ะฝั‹ั… ัะธัั‚ะตะผะฐั… ัะปะตะดัƒะตั‚ ัƒะฑะตะดะธั‚ัŒัั ะฒ ะพั‚ะบะปัŽั‡ะตะฝะธะธ ะฒะพะทะผะพะถะฝะพัั‚ะธ ัะพะทะดะฐะฝะธั ะฟั€ะพัั‚ั€ะฐะฝัั‚ะฒ ะธะผั‘ะฝ ะฝะตะฟั€ะธะฒะธะปะตะณะธั€ะพะฒะฐะฝะฝั‹ะผะธ ะฟะพะปัŒะทะพะฒะฐั‚ะตะปัะผะธ (ยซsudo sysctl -w kernel.unprivileged_userns_clone=0ยป).

ะšั€ะพะผะต ั‚ะพะณะพ, ะพะฟัƒะฑะปะธะบะพะฒะฐะฝั‹ ัะฒะตะดะตะฝะธั ะพ ั‚ั€ั‘ั… ัƒัะทะฒะธะผะพัั‚ัั… ะฒ ัะดั€ะต, ัะฒัะทะฐะฝะฝั‹ั… ั ะฟะพะดัะธัั‚ะตะผะพะน NFC. ะฃัะทะฒะธะผะพัั‚ะธ ะฟะพะทะฒะพะปััŽั‚ ะฒั‹ะทะฒะฐั‚ัŒ ะฐะฒะฐั€ะธะนะฝะพะต ะทะฐะฒะตั€ัˆะตะฝะธะต ั€ะฐะฑะพั‚ั‹ ั‡ะตั€ะตะท ะฒั‹ะฟะพะปะฝะตะฝะธะต ะดะตะนัั‚ะฒะธะน ะฝะตะฟั€ะธะฒะธะปะตะณะธั€ะพะฒะฐะฝะฝั‹ะผ ะฟะพะปัŒะทะพะฒะฐั‚ะตะปะตะผ (ะฑะพะปะตะต ะพะฟะฐัะฝั‹ะต ะฒะตะบั‚ะพั€ั‹ ะฐั‚ะฐะบะธ ะฟะพะบะฐ ะฝะต ะฟั€ะพะดะตะผะพะฝัั‚ั€ะธั€ะพะฒะฐะฝั‹):

  • CVE-2022-1734 โ€” ะพะฑั€ะฐั‰ะตะฝะธะต ะบ ัƒะถะต ะพัะฒะพะฑะพะถะดั‘ะฝะฝะพะน ะฟะฐะผัั‚ะธ (use-after-free) ะฒ ะดั€ะฐะนะฒะตั€ะต nfcmrvl (drivers/nfc/nfcmrvl), ะฒ ะฟั€ะพัะฒะปััŽั‰ะตะตัั ะฟั€ะธ ัะธะผัƒะปัั†ะธะธ ัƒัั‚ั€ะพะนัั‚ะฒะฐ NFC ะฒ ะฟั€ะพัั‚ั€ะฐะฝัั‚ะฒะต ะฟะพะปัŒะทะพะฒะฐั‚ะตะปั.
  • CVE-2022-1974 โ€” ะพะฑั€ะฐั‰ะตะฝะธะต ะบ ัƒะถะต ะพัะฒะพะฑะพะถะดั‘ะฝะฝะพะน ะฟะฐะผัั‚ะธ ะฒ netlink-ั„ัƒะฝะบั†ะธัั… ะดะปั ัƒัั‚ั€ะพะนัั‚ะฒ NFC (/net/nfc/core.c), ะฟั€ะพัะฒะปััŽั‰ะตะตัั ะฟั€ะธ ั€ะตะณะธัั‚ั€ะฐั†ะธะธ ะฝะพะฒะพะณะพ ัƒัั‚ั€ะพะนัั‚ะฒะฐ. ะšะฐะบ ะธ ะฟั€ะพัˆะปะฐั ัƒัะทะฒะธะผะพัั‚ัŒ ะฟั€ะพะฑะปะตะผะฐ ะผะพะถะตั‚ ะฑั‹ั‚ัŒ ัะบัะฟะปัƒะฐั‚ะธั€ะพะฒะฐะฝะฐ ั‡ะตั€ะตะท ัะธะผัƒะปัั†ะธัŽ ัƒัั‚ั€ะพะนัั‚ะฒะฐ NFC ะฒ ะฟั€ะพัั‚ั€ะฐะฝัั‚ะฒะต ะฟะพะปัŒะทะพะฒะฐั‚ะตะปั.
  • CVE-2022-1975 โ€” ะพัˆะธะฑะบะฐ ะฒ ะบะพะดะต ะทะฐะณั€ัƒะทะบะธ ะฟั€ะพัˆะธะฒะพะบ ะดะปั ัƒัั‚ั€ะพะนัั‚ะฒ NFC, ะบะพั‚ะพั€ัƒัŽ ะผะพะถะฝะพ ะธัะฟะพะปัŒะทะพะฒะฐั‚ัŒ ะดะปั ะฒั‹ะทะพะฒะฐ ัะพัั‚ะพัะฝะธั ยซpanicยป.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™