Ранливост во Linux- подсистемот pidfd, кој овозможува читање датотеки недостапни за корисникот

Во јадрото Linux Идентификувана е петтата критична ранливост (1, 2, 3) во последните две недели, која му овозможува на корисникот да ги ескалира своите привилегии во системот. Објавени се два функционални експлоити: sshkeysign_pwn му овозможува на непривилегиран корисник да ја прочита содржината на SSH клучевите на приватниот хост /etc/ssh/ssh_host_*_key, а chage_pwn му овозможува на непривилегиран корисник да ја прочита содржината на датотеката /etc/shadow што содржи хешови на корисничката лозинка.

Ранливоста не беше наменета за откривање, но истражувач за безбедност беше во можност да ја идентификува ранливоста, врз основа на предложена пач на јадрото, дозволувајќи читање на датотеки достапни само за root корисникот, како што е /etc/shadow. Промената на јадрото ја прилагоди логиката за користење на функцијата get_dumpable() во ptrace при одредување на нивоата на пристап во функцијата ptrace_may_access().

Ранливоста е предизвикана од услов за раса што дозволува непривилегиран пристап до дескрипторот на датотеката pidfd по пристапување до датотека од root процес на suid. Помеѓу отворањето на датотеката и ресетирањето на привилегиите во програмата suid (на пример, преку функцијата setreuid), се појавува ситуација каде што апликацијата што ја извршува root програмата suid може да пристапи до датотека отворена од програмата suid преку дескрипторот pidfd, дури и ако дозволите на датотеката не го дозволуваат тоа.

Експлоатирачкиот прозорец се појавува бидејќи функцијата „__ptrace_may_access()“ ја прескокнува проверката за пристап до датотека ако полето task->mm е поставено на NULL по exit_mm(), но пред да се повика exit_files(). Во моментов, системскиот повик pidfd_getfd претпоставува дека корисничкиот ID (uid) на процесот што се повикува се совпаѓа со корисничкиот ID овластен за пристап до датотеката. Вреди да се напомене дека овој проблем беше претходно решен во 2020 година, но останува нерешен.

Во експлоитот што ја добива содржината од /etc/shadow, нападот се состои од постојано стартување на апликацијата /usr/bin/chage преку fork+execl со ознаката suid root, која ја чита содржината од /etc/shadow. Откако процесот ќе се разграничи, се извршува системскиот повик pidfd_open и се извршува јамка на достапни дескриптори pidfd преку системскиот повик pidfd_getfd и нивна верификација преку /proc/self/fd. Во експлоитот sshkeysign_pwn, слични манипулации се изведуваат со програмата suid root ssh-keysign.

На проблемот сè уште не му е доделен CVE идентификатор, а ажурирањата на јадрото и пакетот не се објавени во дистрибуциите. Ранливоста останува незакрпена во јадрата 7.0.7, 6.18.30 и 6.12.88, објавени пред неколку часа. Во моментот на пишување, може да се користи само закрпата. Се дискутираат можни заобиколни решенија, како што се поставување на sysctl kernel.yama.ptrace_scope=3 или отстранување на ознаката suid root од извршните датотеки во системот (барем од алатките ssh-keysign и chage што се користат во експлоитите).

Ажурирање: На ранливоста ѝ е доделен идентификаторот CVE-2026-46333. Генерирани се ажурирања на јадрото. Linux 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 и 5.10.256 со поправки на ранливости. Статусот на поправките на ранливостите за овие дистрибуции може да се процени на овие страници: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.

Извор: opennet.ru