Misy vulnerability (CVE-2021-4122) hita ao amin'ny fonosana Cryptsetup, ampiasaina amin'ny encryption partitions kapila ao amin'ny Linux, izay mamela ny encryption ho kilemaina amin'ny fisarahana amin'ny endrika LUKS2 (Linux Unified Key Setup) amin'ny fanovana metadata. Mba hitrandrahana ny vulnerability, ny mpanafika dia tsy maintsy manana fidirana ara-batana amin'ny haino aman-jery miafina, i.e. Ny fomba dia mitombina indrindra amin'ny fanafihana ireo fitaovana fitahirizana ivelany misy miafina, toy ny Flash drive, izay azon'ny mpanafika idirana nefa tsy fantany ny tenimiafina hamadika ny angon-drakitra.
Ny fanafihana dia tsy azo ampiharina afa-tsy amin'ny endrika LUKS2 ary mifandray amin'ny fanodinkodinana ny metadata tompon'andraikitra amin'ny fampandehanana ny fanitarana "reencryption an-tserasera", izay mamela, raha ilaina ny manova ny fanalahidin'ny fidirana, hanomboka ny dingan'ny reencryption data amin'ny lalitra. tsy mitsahatra miasa amin'ny fisarahana. Koa satria ny fizotran'ny decryption sy ny encryption miaraka amin'ny fanalahidy vaovao dia mitaky fotoana be dia be, ny "reencryption an-tserasera" dia mamela ny tsy hanapaka ny asa miaraka amin'ny fizarazarana ary manatanteraka indray ny encryption ao ambadika, mamerina tsikelikely ny angona avy amin'ny fanalahidy iray mankany amin'ny iray hafa. . Azo atao ihany koa ny misafidy fanalahidy kendrena tsy misy na inona na inona, izay ahafahanao mamadika ilay fizarana ho endrika decrypted.
Ny mpanafika dia afaka manao fanovana amin'ny metadata LUKS2 izay manahaka ny fanafoanana ny hetsika decryption vokatry ny tsy fahombiazana ary mahatratra ny decryption ny ampahany amin'ny fisarahana aorian'ny fampahavitrihana sy ny fampiasana ny fiara novaina nataon'ny tompony. Amin'ity tranga ity, ny mpampiasa izay nampifandray ny fiara novaina ary nanokatra azy tamin'ny tenimiafina marina dia tsy mahazo fampitandremana momba ny dingana famerenana amin'ny laoniny ny fandidiana reencryption tapaka ary tsy afaka mahita afa-tsy ny fandrosoan'ity fandidiana ity amin'ny alΓ lan'ny "luks Dump" baiko. Ny habetsaky ny angon-drakitra azon'ny mpanafika iray dia miankina amin'ny haben'ny lohatenin'ny LUKS2, fa amin'ny haben'ny default (16 MiB) dia mety mihoatra ny 3 GB.
Ny olana dia vokatry ny zava-misy fa na dia mitaky ny kajy sy ny fanamarinana ny hash amin'ny fanalahidy vaovao sy taloha aza ny re-encryption, dia tsy ilaina ny hash hanombohana ny decryption raha toa ny fanjakana vaovao dia midika ny tsy fisian'ny lakile plaintext ho an'ny encryption. Ankoatra izany, ny metadata LUKS2, izay mamaritra ny algorithm encryption, dia tsy voaaro amin'ny fanovana raha toa ka latsaka eo an-tanan'ny mpanafika. Mba hanakanana ny vulnerability, ny mpamorona dia nanampy fiarovana fanampiny ho an'ny metadata ho an'ny LUKS2, izay misy tenifototra fanampiny voamarika ankehitriny, kajy mifototra amin'ny fanalahidy fantatra sy ny atiny metadata, izany hoe. tsy afaka manova an-tsokosoko metadata intsony ny mpanafika raha tsy mahafantatra ny tenimiafina decryption.
Ny scenario fanafihana mahazatra dia mitaky ny ahafahan'ny mpanafika mahazo ny tanany amin'ny fiara imbetsaka. Voalohany, ny mpanafika iray izay tsy mahafantatra ny tenimiafina fidirana dia manova ny faritra metadata, mandrisika ny famongorana ny ampahany amin'ny angon-drakitra amin'ny fotoana manaraka ny fiara. Avy eo dia averina amin'ny toerany ny fiara ary miandry ny mpampiasa mandra-pampifandray azy amin'ny alΓ lan'ny fampidirana tenimiafina ny mpanafika. Rehefa ampiasain'ny mpampiasa ilay fitaovana, dia atomboka ny fizotry ny famandrihana indray, ary mandritra izany dia soloina angon-drakitra voahidy ny ampahany amin'ny angon-drakitra. Fanampin'izay, raha mahavita mahazo ny tanany amin'ny fitaovana indray ny mpanafika, dia ho ao anaty endrika voadio ny sasany amin'ireo angona ao amin'ny fiara.
Ny olana dia nomarihin'ny mpikarakara ny tetikasa cryptsetup ary napetraka tao amin'ny fanavaozana cryptsetup 2.4.3 sy 2.3.7. Ny satan'ny fanavaozana amboarina hamahana ny olana amin'ny fizarana dia azo jerena amin'ireto pejy ireto: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Ny vulnerability dia tsy hita afa-tsy hatramin'ny famoahana ny cryptsetup 2.2.0, izay nampiditra fanohanana ny hetsika "reencryption an-tserasera". Amin'ny maha-fiarovana azy dia azo ampiasaina ny fandefasana miaraka amin'ny safidy "--disable-luks2-reencryption".
Source: opennet.ru