🥇मधील असुरक्षितता Linux- pidfd सबसिस्टम, जी वापरकर्त्याला अगम्य असलेल्या फायली वाचण्याची परवानगी देते

गाभ्यामध्ये Linux गेल्या दोन आठवड्यांतील पाचवी (१, २, ३) गंभीर असुरक्षितता ओळखली गेली आहे, ज्यामुळे वापरकर्त्याला सिस्टममधील आपले विशेषाधिकार वाढवता येतात. दोन कार्यरत एक्सप्लॉइट्स प्रकाशित झाले आहेत: sshkeysign_pwn एका विशेषाधिकार नसलेल्या वापरकर्त्याला खाजगी होस्ट SSH कीज /etc/ssh/ssh_host_*_key मधील मजकूर वाचण्याची परवानगी देतो, आणि chage_pwn एका विशेषाधिकार नसलेल्या वापरकर्त्याला वापरकर्त्याच्या पासवर्ड हॅशेस असलेल्या /etc/shadow फाईलमधील मजकूर वाचण्याची परवानगी देतो.

ही असुरक्षितता उघड करण्याचा हेतू नव्हता, परंतु एका सुरक्षा संशोधकाने प्रस्तावित कर्नल पॅचच्या आधारे ही असुरक्षितता ओळखली, ज्यामुळे /etc/shadow सारख्या केवळ रूट वापरकर्त्यालाच उपलब्ध असलेल्या फाइल्स वाचणे शक्य झाले. कर्नल बदलाने ptrace_may_access() फंक्शनमध्ये ॲक्सेस लेव्हल्स निश्चित करताना ptrace मधील get_dumpable() फंक्शन वापरण्याच्या लॉजिकमध्ये बदल केला.

ही असुरक्षितता एका रेस कंडिशनमुळे निर्माण होते, जी suid रूट प्रोसेसमधून फाईल ऍक्सेस केल्यानंतर pidfd फाईल डिस्क्रिप्टरला अप्रिव्हिलेज्ड ऍक्सेस मिळवून देते. फाईल उघडणे आणि suid प्रोग्राममधील प्रिव्हिलेजेस रीसेट करणे (उदाहरणार्थ, setreuid फंक्शनद्वारे) या दरम्यान अशी परिस्थिती निर्माण होते की, suid रूट प्रोग्राम चालवणारे ऍप्लिकेशन, फाईलच्या परवानग्या परवानगी देत नसल्या तरीही, suid प्रोग्रामने उघडलेल्या फाईलला pidfd डिस्क्रिप्टरद्वारे ऍक्सेस करू शकते.

exit_mm() नंतर पण exit_files() कॉल करण्यापूर्वी, जर task->mm फील्ड NULL वर सेट केले असेल, तर "__ptrace_may_access()" फंक्शन फाइल ऍक्सेसची तपासणी वगळते, त्यामुळे शोषणाची संधी निर्माण होते. सध्या, pidfd_getfd सिस्टम कॉल असे गृहीत धरतो की कॉलिंग प्रोसेसचा यूजर आयडी (uid) हा फाइल ऍक्सेस करण्यासाठी अधिकृत असलेल्या यूजर आयडीशी जुळतो. हे लक्षात घेण्यासारखे आहे की या समस्येवर २०२० मध्ये पूर्वी उपाययोजना करण्यात आली होती, परंतु ती अजूनही दुरुस्त झालेली नाही.

/etc/shadow मधील सामग्री मिळवणाऱ्या एक्सप्लॉइटमध्ये, suid रूट फ्लॅगसह fork+execl वापरून /usr/bin/chage ॲप्लिकेशन वारंवार सुरू केले जाते, जे /etc/shadow मधील सामग्री वाचते. प्रोसेस फोर्क झाल्यानंतर, pidfd_open सिस्टम कॉल कार्यान्वित केला जातो आणि pidfd_getfd सिस्टम कॉलद्वारे उपलब्ध pidfd डिस्क्रिप्टर्सची एक लूप चालवली जाते व /proc/self/fd द्वारे त्यांची पडताळणी केली जाते. sshkeysign_pwn एक्सप्लॉइटमध्ये, suid रूट ssh-keysign प्रोग्राम वापरून अशाच प्रकारची फेरफार केली जाते.

या समस्येला अद्याप CVE आयडेंटिफायर दिलेला नाही, आणि डिस्ट्रिब्युशन्समध्ये कर्नल व पॅकेज अपडेट्स प्रकाशित झालेले नाहीत. काही तासांपूर्वी रिलीज झालेल्या कर्नल 7.0.7, 6.18.30, आणि 6.12.88 मध्ये ही असुरक्षितता पॅच न केलेली आहे. हे लिहित असताना, फक्त पॅच वापरला जाऊ शकतो. संभाव्य पर्यायी उपायांवर चर्चा सुरू आहे, जसे की sysctl kernel.yama.ptrace_scope=3 सेट करणे किंवा सिस्टममधील एक्झिक्युटेबल्समधून suid रूट फ्लॅग काढून टाकणे (किमान एक्सप्लॉइट्समध्ये वापरल्या जाणाऱ्या ssh-keysign आणि chage युटिलिटीजमधून).

अपडेट: या असुरक्षिततेला CVE-2026-46333 हा ओळख क्रमांक देण्यात आला आहे. कर्नल अपडेट्स तयार करण्यात आले आहेत. Linux 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207, आणि 5.10.256, असुरक्षितता निराकरणासह. या डिस्ट्रिब्युशन्ससाठी असुरक्षितता निराकरणाची स्थिती या पृष्ठांवर तपासली जाऊ शकते: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.

स्त्रोत: opennet.ru

असुरक्षितता Linux- pidfd सबसिस्टम, जी वापरकर्त्याला अगम्य असलेल्या फाईल्स वाचण्याची परवानगी देते.