🥇Ранливости во потсистемот eBPF кои овозможуваат извршување на код на ниво на кернелот Линукс

Идентификувани се две нови пропусти во потсистемот eBPF, кој ви овозможува да извршувате ракувачи во кернелот на Linux во специјална виртуелна машина со JIT. Двете пропусти овозможуваат извршување на вашиот код со права на јадрото, надвор од изолирана виртуелна машина eBPF. Информациите за проблемите беа објавени од тимот на Zero Day Initiative, кој го води натпреварот Pwn2Own, при што оваа година беа демонстрирани три напади на Ubuntu Linux кои користеа претходно непознати пропусти (дали ранливостите во eBPF се поврзани со овие напади не е пријавено) .

CVE-2021-3490 - Ранливоста е предизвикана од недостаток на 32-битна проверка надвор од границите при извршување на битови операции И, ИЛИ и XOR во eBPF ALU32. Напаѓачот може да ја искористи оваа грешка за да чита и пишува податоци надвор од границите на доделениот бафер. Проблемот со операциите XOR се појавува почнувајќи од верзијата на кернелот 5.7-rc1, и AND и OR - почнувајќи од 5.10-rc1.
CVE-2021-3489 - Ранливоста е предизвикана од грешка во имплементацијата на прстенестиот бафер и се должи на фактот што функцијата bpf_ringbuf_reserve не ја провери можноста големината на доделениот мемориски регион да биде помала од вистинската големина на рингбуф. Проблемот се појавува од објавувањето 5.8-rc1.

Статусот на поправање на ранливости во дистрибуциите може да се следи на овие страници: Ubuntu, Debian, RHEL, Fedora, SUSE, Arch). Поправките се достапни и како закрпи (CVE-2021-3489, CVE-2021-3490). Дали проблемот може да се искористи зависи од тоа дали повикот на системот EBPF е достапен за корисникот. На пример, во стандардната конфигурација во RHEL, експлоатацијата на ранливоста бара од корисникот да има права на CAP_SYS_ADMIN.

Одделно, можеме да забележиме уште една ранливост во кернелот на Линукс - CVE-2021-32606, што му овозможува на локалниот корисник да ги подигне своите привилегии на коренското ниво. Проблемот е евидентен уште од кернелот 5.11 на Линукс и е предизвикан од состојба на трка во имплементацијата на протоколот CAN ISOTP, што овозможува да се сменат параметрите за врзување на штекерот поради недостатокот на поставување на соодветни брави во функцијата isotp_setsockopt() при обработка на знамето CAN_ISOTP_SF_BROADCAST.

Откако ќе се затвори ISOTP штекерот, врзувањето за приклучокот на примачот останува во сила, што може да продолжи да ги користи структурите поврзани со штекерот откако ќе се ослободи меморијата поврзана со нив (користење-по-слободно поради повикот до структурата isotp_sock што веќе е ослободено кога се повикува isotp_rcv()). Преку манипулација со податоци, можете да го отфрлите покажувачот на функцијата sk_error_report() и да го извршите вашиот код на ниво на јадрото.

Извор: opennet.ru

Ранливости во потсистемот eBPF што овозможуваат извршување на код на ниво на кернелот на Linux

Додадете коментар Откажи одговор