IPv6 kernel stack မှာ အားနည်းချက်တွေ ရှိနေခြင်း Linuxအဝေးထိန်းကုဒ်လုပ်ဆောင်ခြင်းကို ခွင့်ပြုသည်

kernel network stack ရှိ အားနည်းချက် (CVE-2023-6200) နှင့်ပတ်သက်သည့် အချက်အလက်များကို ထုတ်ဖော်ပြောကြားခဲ့သည်။ Linux၊ အချို့သောအခြေအနေများတွင်၊ ဒေသတွင်းကွန်ရက်ပေါ်ရှိ တိုက်ခိုက်သူတစ်ဦးအား router အကြောင်း အချက်အလက်များကို ကြော်ငြာရန် ရည်ရွယ်သည့် RA (Router Advertisement) မက်ဆေ့ချ်ပါ၀င်သည့် အထူးပြုလုပ်ထားသော ICMPv6 packet တစ်ခုကို ပေးပို့ခြင်းဖြင့် ၎င်းတို့၏ကုဒ်ကို execute လုပ်ခွင့်ပြုသည်။

ဤအားနည်းချက်ကို ဒေသတွင်းကွန်ရက်မှသာ အသုံးချနိုင်ပြီး IPv6 ပံ့ပိုးမှုကို ဖွင့်ထားပြီး sysctl parameter "net.ipv6.conf.<network_interface_name>.accept_ra" သည် အသက်ဝင်နေသော စနစ်များတွင် ပေါ်လာပါသည် ("sysctl net.ipv6.conf| grep accept_ra" command ဖြင့် စစ်ဆေးနိုင်ပါသည်)၊ ၎င်းကို RHEL တွင် default အနေဖြင့် disable လုပ်ထားပြီး၊ Ubuntu ပြင်ပကွန်ရက်အင်တာဖေ့စ်များအတွက်၊ သို့သော် loopback အင်တာဖေ့စ်အတွက် ဖွင့်ထားသဖြင့် တူညီသောစနစ်မှ တိုက်ခိုက်မှုကို ခွင့်ပြုသည်။

အမှိုက်စုဆောင်းသူသည် ဟောင်းနွမ်းနေသော fib6_info မှတ်တမ်းများကို လုပ်ဆောင်သောအခါတွင် အားနည်းချက်သည် ပြိုင်ဆိုင်မှုအခြေအနေတစ်ခုကြောင့်ဖြစ်ပြီး၊ ၎င်းသည် လွတ်ပြီးသားမမ်မိုရီဧရိယာသို့ ဝင်ရောက်နိုင်သည် (အသုံးပြုပြီးနောက် အခမဲ့ဖြစ်သည်)။ router advertisement message (RA၊ Router Advertisement) ပါရှိသော ICMPv6 ပက်ကတ်ကို လက်ခံရရှိသောအခါတွင် network stack သည် ndisc_router_discovery() လုပ်ဆောင်ချက်ကို ခေါ်သည်၊၊ RA မက်ဆေ့ချ်တွင် လမ်းကြောင်းတစ်သက်တာဆိုင်ရာ အချက်အလက်ပါရှိပါက fib6_set_expires() လုပ်ဆောင်ချက်ကို ခေါ်ပြီး gc_link ကို ဖြည့်ပေးသည်။ ဖွဲ့စည်းပုံ။ အသုံးမပြုတော့သော ထည့်သွင်းမှုများကို ရှင်းလင်းရန်၊ fib6_clean_expires() လုပ်ဆောင်ချက်ကို အသုံးပြုပါ၊၊ ၎င်းသည် gc_link တွင် ဝင်ခွင့်ကို ဖယ်ထုတ်ပြီး fib6_info တည်ဆောက်ပုံမှ အသုံးပြုသည့် မမ်မိုရီကို ရှင်းလင်းပေးပါသည်။ ဤကိစ္စတွင်၊ fib6_info တည်ဆောက်ပုံအတွက် မမ်မိုရီကို ဖယ်ရှားပြီးဖြစ်သော်လည်း ၎င်းနှင့်ဆက်စပ်သည့်လင့်ခ်သည် gc_link တည်ဆောက်ပုံတွင် ဆက်လက်ရှိနေပါသည်။

အားနည်းချက်သည် 6.6 branch မှစတင်၍ ပေါ်လာပြီး ဗားရှင်း 6.6.9 နှင့် 6.7 တွင် ပြင်ဆင်ပြီးဖြစ်သည်။ ဖြန့်ဝေမှုများတွင် အားနည်းချက်ပြင်ဆင်မှုအခြေအနေကို ဤစာမျက်နှာများတွင် အကဲဖြတ်နိုင်သည်- Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware။ kernel 6.6 package များကို ပို့ဆောင်ပေးသော distribution များထဲတွင် Arch ကိုလည်း ထည့်သွင်းစဉ်းစားသင့်ပါသည်။ Linux, Gentoo, Fedora, Slackware, OpenMandriva နှင့် Manjaro တို့တွင် အခြား distribution များတွင် ပြောင်းလဲမှုကို kernel branch အဟောင်းများပါရှိသော package များထဲသို့ error ဖြင့် backport လုပ်ခံရနိုင်သည် (ဥပမာ၊ Debian (ပြဿနာရှိသော ပြောင်းလဲမှုသည် kernel 6.5.13 တွင် ပါဝင်ပြီး ပြဿနာရှိသော package ကို 6.6 branch တွင် ထည့်သွင်းထားကြောင်း ဖော်ပြထားသည်။) ဖြေရှင်းနည်းတစ်ခုအနေဖြင့် IPv6 ကို disable လုပ်နိုင်သည် သို့မဟုတ် "net.ipv6.conf.*.accept_ra" parameters များတွင် 0 သတ်မှတ်နိုင်သည်။

source: opennet.ru