🥇 स्न्याप प्याकेज व्यवस्थापन उपकरणहरूमा मूल जोखिम

Qualys ले यो वर्ष तेस्रो खतरनाक जोखिम पहिचान गरेको छ (CVE-2022-3328) स्न्याप-कन्फाइन युटिलिटीमा, जुन SUID रूट फ्ल्यागको साथ आउँछ र स्न्यापडी प्रक्रियाद्वारा आत्म-निहित प्याकेजहरूमा वितरित अनुप्रयोगहरूको लागि कार्यान्वयनयोग्य वातावरण सिर्जना गर्न बोलाइन्छ। स्न्याप ढाँचामा। भेद्यताले स्थानीय असुविधाजनक प्रयोगकर्तालाई पूर्वनिर्धारित Ubuntu कन्फिगरेसनमा रूटको रूपमा कोड कार्यान्वयन प्राप्त गर्न अनुमति दिन्छ। मुद्दा snapd 2.57.6 रिलीज मा तय गरिएको छ। Ubuntu को सबै समर्थित शाखाहरूको लागि प्याकेज अद्यावधिकहरू जारी गरिएको छ।

चाखलाग्दो कुरा के छ भने, स्न्याप-कन्फाइनमा फेब्रुअरीमा यस्तै प्रकारको जोखिम फिक्स गर्ने प्रक्रियाको क्रममा प्रश्नमा रहेको जोखिमलाई प्रस्तुत गरिएको थियो। अन्वेषकहरूले काम गर्ने शोषण तयार गर्न सक्षम थिए जसले Ubuntu सर्भर 22.04 मा रूट पहुँच प्रदान गर्दछ, जसले स्न्याप-कन्फाइनको जोखिमको अतिरिक्त, मल्टिपाथ प्रक्रियामा दुई कमजोरीहरू पनि समावेश गर्दछ (CVE-2022-41974, CVE-2022-41973)। , विशेषाधिकार प्राप्त आदेशहरूको प्रसारण र प्रतीकात्मक लिङ्कहरूसँग असुरक्षित काम गर्दा प्राधिकरण जाँचलाई बाइपास गर्नेसँग सम्बन्धित।

snap-confine मा कमजोरी must_mkdir_and_open_with_perms() प्रकार्यमा दौड अवस्थाको कारणले हुन्छ, /tmp/snap को प्रतिस्थापन विरुद्ध सुरक्षा गर्न थपिएको।$SNAP_NAME डाइरेक्टरी मालिक जाँच गरेपछि प्रतीकात्मक लिङ्कको साथ, तर माउन्ट प्रणाली कल गर्नु अघि। स्न्याप ढाँचामा प्याकेजको लागि यसमा बाइन्ड-माउन्ट डाइरेक्टरीहरूलाई कल गर्नुहोस्। थपिएको सुरक्षा भनेको /tmp/snap.$SNAP_NAME डाइरेक्टरीलाई /tmp मा अर्को डाइरेक्टरीमा पुन: नामाकरण गर्नु थियो यदि यो अवस्थित छ र रूटको स्वामित्वमा छैन भने।

जब /tmp/snap.$SNAP_NAME डाइरेक्टरी पुन: नामकरण सञ्चालनको शोषण गर्दै, अनुसन्धानकर्ताहरूले यस तथ्यको फाइदा उठाए कि snap-confine ले स्न्याप प्याकेजको सामग्रीको रूटको लागि /tmp/snap.rootfs_XXXXXX डाइरेक्टरी पनि सिर्जना गर्दछ। नामको "XXXXXX" भाग mkdtemp() द्वारा अनियमित रूपमा छनोट गरिएको छ, तर "rootfs_XXXXXX" नामको प्याकेजलाई sc_instance_name_validate प्रकार्यमा प्रमाणित गर्न सकिन्छ (अर्थात् $SNAP_NAME लाई "rootfs_XXXXXX" मा सेट गरिनेछ र त्यसपछि पुन: नामाकरण सञ्चालन हुनेछ। रूट स्न्यापको साथ /tmp/snap.rootfs_XXXXXX डाइरेक्टरी अधिलेखन गर्न परिणाम हुनेछ)।

/tmp/snap.rootfs_XXXXXX को एक साथ प्रयोग र /tmp/snap.$SNAP_NAME को पुन: नामाकरण गर्न को लागी, स्न्याप-कन्फाइन को दुई दृष्टान्त सुरु गरियो। एक पटक पहिलो उदाहरण /tmp/snap.rootfs_XXXXXX सिर्जना गरेपछि, प्रक्रिया रोकिनेछ र दोस्रो उदाहरण प्याकेज नाम rootfs_XXXXXX सँग सुरु हुनेछ, जसले दोस्रो उदाहरणको अस्थायी डाइरेक्टरी /tmp/snap.$SNAP_NAME रूट डाइरेक्टरी /tmp/snap बन्न सक्छ। पहिलो को .rootfs_XXXXXX। पुन: नामकरण पूरा भएको तुरुन्तै, दोस्रो उदाहरण क्र्यास भयो, र /tmp/snap.rootfs_XXXXXX लाई रेस कन्डिशन हेरफेरको साथ प्रतिस्थापित गरियो, जस्तै फेब्रुअरी जोखिमको शोषण गर्दा। प्रतिस्थापन पछि, कार्यान्वयन लक पहिलो उदाहरणबाट हटाइयो र आक्रमणकारीहरूले स्न्याप रूट डाइरेक्टरीमा पूर्ण नियन्त्रण प्राप्त गरे।

अन्तिम चरण भनेको symlink /tmp/snap.rootfs_XXXXXX/tmp सिर्जना गर्नु थियो, जुन sc_bootstrap_mount_namespace() प्रकार्यले राइटेबल रियल डाइरेक्टरी /tmp लाई फाइल प्रणालीमा कुनै पनि डाइरेक्टरीमा बाइन्ड-माउन्ट गर्न प्रयोग गरेको थियो, mount() कल गर्दा। माउन्ट गर्नु अघि symlinks पछ्याउँछ। यस्तो माउन्टिङलाई AppArmor प्रतिबन्धहरूद्वारा अवरुद्ध गरिएको छ, तर यो ब्लकलाई बाइपास गर्न, शोषणले मल्टिपाथमा दुई सहायक कमजोरीहरू प्रयोग गर्यो।

स्रोत: opennet.ru

स्न्याप प्याकेज व्यवस्थापन टूलकिटमा रूट जोखिम

एक टिप्पणी थप्न Отменить ответ