Линукс дээрх дискний хуваалтыг шифрлэхэд ашигладаг Cryptsetup багцад эмзэг байдал (CVE-2021-4122) илэрсэн бөгөөд энэ нь мета өгөгдлийг өөрчлөх замаар LUKS2 (Linux нэгдсэн түлхүүрийн тохиргоо) форматын хуваалтууд дээр шифрлэлтийг идэвхгүй болгох боломжийг олгодог. Эмзэг байдлыг ашиглахын тулд халдагч нь шифрлэгдсэн мэдээллийн хэрэгсэлд бие махбодийн хандалттай байх ёстой, i.e. Энэ арга нь халдагчид хандах эрхтэй боловч өгөгдлийг тайлах нууц үгээ мэдэхгүй флаш диск гэх мэт шифрлэгдсэн гадаад санах ойн төхөөрөмжүүдэд халдах ач холбогдолтой юм.
Энэхүү халдлага нь зөвхөн LUKS2 форматад хамаарах бөгөөд "онлайн дахин шифрлэлт" өргөтгөлийг идэвхжүүлэх үүрэгтэй мета өгөгдлийг удирдахтай холбоотой бөгөөд энэ нь хандалтын түлхүүрийг өөрчлөх шаардлагатай бол өгөгдлийг дахин шифрлэх процессыг шууд эхлүүлэх боломжийг олгодог. хуваалттай ажиллахаа зогсоохгүйгээр. Шифрийг тайлах, шинэ түлхүүрээр шифрлэх үйл явц нь маш их цаг хугацаа шаарддаг тул "онлайн дахин шифрлэлт" нь хуваалттай ажиллахад саад болохгүй, далд шифрлэлт хийх боломжийг олгодог бөгөөд өгөгдлийг нэг түлхүүрээс нөгөө рүү аажмаар дахин шифрлэдэг. . Мөн хоосон зорилтот түлхүүрийг сонгох боломжтой бөгөөд энэ нь хэсгийг шифрлэгдсэн хэлбэрт хөрвүүлэх боломжийг олгодог.
Халдагчид LUKS2 мета өгөгдөлд алдаа гарсны үр дүнд шифрийг тайлах ажиллагааг зогсоохыг дуурайлган өөрчлөлт хийж, өөрчилсөн дискийг эзэмшигч нь идэвхжүүлж, ашигласны дараа хуваалтын хэсгийг тайлж чадна. Энэ тохиолдолд өөрчилсөн дискийг холбож, зөв нууц үгээр түгжээг тайлсан хэрэглэгч тасалдсан дахин шифрлэлтийн ажиллагааг сэргээх үйл явцын талаар ямар ч анхааруулга хүлээн авахгүй бөгөөд зөвхөн "luks Dump" ашиглан энэ үйлдлийн явцын талаар олж мэдэх боломжтой. тушаал. Халдагчийн шифрийг тайлж чадах өгөгдлийн хэмжээ нь LUKS2 толгойн хэмжээнээс хамаардаг боловч өгөгдмөл хэмжээтэй (16 МБ) 3 ГБ-аас хэтрэх боломжтой.
Асуудал нь дахин шифрлэхэд шинэ болон хуучин түлхүүрүүдийн хэшийг тооцоолох, шалгах шаардлагатай байдаг ч шинэ төлөв нь шифрлэлтийн энгийн түлхүүр байхгүй гэсэн үг бол шифрлэлтийг эхлүүлэхийн тулд хэш шаардлагагүй байдагтай холбоотой юм. Нэмж дурдахад, шифрлэлтийн алгоритмыг тодорхойлсон LUKS2 мета өгөгдөл нь халдагчийн гарт орвол өөрчлөхөөс хамгаалагдаагүй болно. Эмзэг байдлыг хаахын тулд хөгжүүлэгчид LUKS2-д мета өгөгдлийн нэмэлт хамгаалалтыг нэмсэн бөгөөд үүний тулд мэдэгдэж буй түлхүүрүүд болон мета өгөгдлийн агуулгад үндэслэн тооцсон нэмэлт хэшийг шалгаж байна. Халдагчид шифр тайлах нууц үгийг мэдэхгүйгээр мета өгөгдлийг нууцаар өөрчлөх боломжгүй болсон.
Ердийн халдлагын хувилбарт халдагчид хэд хэдэн удаа хөтчийнхөө гарыг авах боломжтой байхыг шаарддаг. Нэгдүгээрт, нэвтрэх нууц үгээ мэдэхгүй халдагчид мета өгөгдлийн талбарт өөрчлөлт оруулснаар дараагийн удаа дискийг идэвхжүүлэх үед өгөгдлийн зарим хэсгийг тайлах ажиллагааг эхлүүлдэг. Дараа нь хөтчийг байрандаа буцааж, халдагчид нууц үг оруулан хэрэглэгч холбох хүртэл хүлээнэ. Төхөөрөмжийг хэрэглэгч идэвхжүүлсэн үед далд дахин шифрлэлтийн процесс эхэлдэг бөгөөд энэ үед шифрлэгдсэн мэдээллийн нэг хэсэг нь шифрлэгдсэн өгөгдлөөр солигддог. Цаашилбал, хэрэв халдагч дахин төхөөрөмж дээрээ гараа авч чадвал диск дээрх зарим өгөгдөл шифрлэгдсэн хэлбэрээр байх болно.
Асуудлыг cryptsetup төслийн засварлагч тодорхойлж, cryptsetup 2.4.3 болон 2.3.7 шинэчлэлтүүдээр зассан. Түгээлтийн асуудлыг засахын тулд үүсгэж буй шинэчлэлтүүдийн статусыг дараах хуудсуудаас хянах боломжтой: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Энэ эмзэг байдал нь зөвхөн "онлайн дахин шифрлэх" үйлдлийн дэмжлэгийг нэвтрүүлсэн cryptsetup 2.2.0 хувилбарыг гаргаснаас хойш л гарч ирдэг. Хамгаалах асуудлыг шийдвэрлэхийн тулд "--disable-luks2-reencryption" сонголтыг ашиглан эхлүүлж болно.
Эх сурвалж: opennet.ru