ProHoster > Блог > rongo ipurangi > Ko te whakaraerae i roto i te OverlayFS ka taea te piki ake o te mana

Ko te whakaraerae i roto i te OverlayFS ka taea te piki ake o te mana

I roto i te uho Linux Kua kitea he ngoikoretanga (CVE-2023-0386) i roto i te whakatinanatanga o te pūnaha kōnae OverlayFS, ka taea te whakamahi hei whiwhi urunga pakiaka i runga i ngā pūnaha kua tāutahia te pūnaha FUSE, ā, ka taea te whakairi i ngā wehewehenga OverlayFS e te kaiwhakamahi kāore i te whai mana (tīmata mai i te kernel) Linux (5.11 me te whakaurunga o ngā mokowā ingoa kaiwhakamahi kore mana). I whakatikahia te raruraru i roto i te peka kernel 6.2. Ka taea te whai i te whakaputanga o ngā whakahōutanga mōkihi i roto i ngā tohatoha i ngā whārangi e whai ake nei: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Ka mahia te whakaeke ma te kape i nga konae me nga haki setgid/setuid mai i te wehewehenga i utaina ki te aratau nosuid ki te wehenga OverlayFS he paparanga e hono ana ki te wehenga e taea ai e nga konae suid te mahi. He rite te whakaraeraetanga ki te take CVE-2021-3847 i tautuhia i te tau 2021, engari he rereke nga whakaritenga mo te whakamahi iti - ko te take tawhito e hiahia ana ki te raweke me nga xattrs, he iti nei ki te whakamahi i nga mokowā ingoa kaiwhakamahi (kaiwhakamahi ingoa), ka whakamahia e te take hou nga bits setgid /setuid karekau i te whakahaeretia i roto i te mokowāingoa kaiwhakamahi.

Whakataunga algorithm:

  • Ma te awhina o te punaha FUSE, ka whakauruhia he punaha konae, kei roto he konae ka taea e te kaiwhakamahi pakiaka me nga haki setuid / setgid, e waatea ana ki nga kaiwhakamahi katoa mo te tuhi. I te wa e whakairihia ana, ka tautuhia e FUSE te aratau ki te "nosuid".
  • Wetewete i nga mokowā ingoa kaiwhakamahi me nga tohu whakairi (kaiwhakamahi/maunga ingoa mokowā).
  • Ko te OverlayFS kua whakauruhia ki te FS i hangaia i mua i te FUSE hei papa o raro me te paparanga runga i runga i te raarangi tuhi. Ko te whaiaronga paparanga o runga me noho ki roto i te punaha konae karekau e whakamahi i te haki "nosuid" ina utaina.
  • Mo te konae suid i roto i te wehewehenga FUSE, ka huri te whaipainga pa ki te wa whakarereke, e arahi ana ki tana kape ki te paparanga o runga o OverlayFS.
  • I te kape, karekau te kernel e tango i nga haki setgid/setuid, e puta ai te konae ki runga i te wehewehenga ka taea te tukatuka ma te setgid/setuid.
  • Ki te whiwhi motika pakiaka, he nui ki te whakahaere i te konae me nga haki setgid/setuid mai i te whaiaronga e piri ana ki te paparanga o runga o OverlayFS.

I tua atu, i whakakitea e ngā kairangahau o te tīma Google Project Zero ngā kōrero mō ngā ngoikoretanga e toru i whakatikahia i te peka matua o te kernel. Linux 5.15, engari kāore i whakahokia ki ngā mōkihi kernel mai i RHEL 8.x/9.x me CentOS Awa 9.

  • CVE-2023-1252 - Te uru atu ki tetahi waahi mahara kua wetekina i roto i te hanganga ovl_aio_req i te wa e mahi ana i nga mahi maha i te wa ano i OverlayFS kua horahia ki runga ake o te punaha konae Ext4. Ko te whakaraeraetanga ka taea e koe te whakanui ake i o mana ki te punaha.
  • CVE-2023-0590 - E tohu ana ki tetahi waahi mahara kua wetekina i roto i te mahi qdisc_graft(). E kiia ana he iti noa te mahi ki te whakatahe.
  • CVE-2023-1249 - Te uru ki tetahi waahi mahara kua wetekina i roto i te waehere urunga coredump na te ngaro o te waea mmap_lock i te file_files_note. E kiia ana he iti noa te mahi ki te whakatahe.

Source: opennet.ru

Hokona te manaaki pono mo nga waahi me te tiaki DDoS, nga kaiwhakarato VPS VDS 🔥 Hokona he manaaki paetukutuku pono me te tiakitanga DDoS, ngā tūmau VPS VDS | ProHoster