Ранливост во swhkd, менаџер за кратенки за Вејленд

Идентификувани се низа пропусти во swhkd (Simple Wayland HotKey Daemon) предизвикани од неправилна работа со привремени датотеки, параметри на командната линија и Unix приклучоци. Програмата е напишана во Rust и се справува со притискање на копчињата во средини базирани на протоколот Wayland (аналог кој е компатибилен со конфигурациската датотека на процесот sxhkd што се користи во средини базирани на X11).

Пакетот вклучува непривилегиран процес на swhks кој врши дејства на копчињата со копчиња и процес swhkd во заднина што работи како root и комуницира со влезните уреди на ниво на uinput API. Уникс приклучокот се користи за организирање на интеракцијата помеѓу swhks и swhkd. Користејќи ги правилата на Polkit, секој локален корисник може да го изврши процесот /usr/bin/swhkd како root и да му пренесе произволни параметри.

Идентификувани пропусти:

• CVE-2022-27815 – Зачувување процесен PID во датотека со предвидливо име и во директориум што може да се запише од други корисници (/tmp/swhkd.pid). Секој корисник може да креира датотека /tmp/swhkd.pid и да го стави pid од постоечки процес во неа, што ќе направи swhkd да не може да започне. Ако не постои заштита од создавање симболични врски во /tmp, ранливоста може да се користи за креирање или презапишување датотеки во кој било системски директориум (PID е запишан во датотеката) или одредување на содржината на која било датотека на системот (swhkd ја печати целата содржина на датотеката PID до stdout). Вреди да се одбележи дека во објавената поправка датотеката PID не беше преместена во директориумот /run, туку во директориумот /etc (/etc/swhkd/runtime/swhkd_{uid}.pid), каде што исто така не припаѓа.
• CVE-2022-27814 – Со манипулирање со опцијата на командната линија „-c“ што се користи за одредување на конфигурациска датотека, можно е да се утврди постоењето на која било датотека на системот. На пример, за да проверите /root/.somefile можете да извршите „pkexec /usr/bin/swhkd -d -c /root/.somefile“ и ако датотеката недостасува, грешката „/root/.somefile не постои “ ќе се прикаже. Како и во случајот со првата ранливост, поправањето на проблемот е збунувачки - решавањето на проблемот се сведува на фактот дека надворешната алатка „cat“ ('Command::new(“/bin/cat”)).arg(path) сега е лансирана за читање на конфигурациската датотека ()').
• CVE-2022-27819 – Проблемот е поврзан и со употребата на опцијата „-c“, која предизвикува вчитување и анализирање на целата конфигурациска датотека без проверка на големината и видот на датотеката. На пример, за да предизвикате одбивање на услугата со снемување на слободната меморија и создавање лажни I/O, можете да наведете блок уред при стартувањето („pkexec /usr/bin/swhkd -d -c /dev/sda“) или уред со знаци што произведува бесконечен тек на податоци. Проблемот беше решен со ресетирање на привилегиите пред отворањето на датотеката, но поправката не беше завршена, бидејќи само корисничкиот ID (UID) е ресетиран, но ID на групата (GID) останува ист.
• CVE-2022-27818 – Сокетот Unix се креира со помош на датотеката /tmp/swhkd.sock создадена во директориум што може да се запише, што доведува до слични проблеми како првата ранливост (секој корисник може да креира /tmp/swhkd.sock и да генерира или пресретне настани со притискање на копчињата).
• CVE-2022-27817 - Влезните настани се прифаќаат од сите уреди и во сите сесии, т.е. корисник од друга сесија на Wayland или од конзолата може да пресретнува настани кога копчињата се притиснати од други корисници.
• CVE-2022-27816 Процесот swhks, како swhkd, ја користи PID-датотеката /tmp/swhks.pid во директориумот за пишување /tmp. Проблемот е сличен на првата ранливост, но не е толку опасен бидејќи swhks работи под непривилегиран корисник.

Извор: opennet.ru