🥇 cgroups v1 मा असुरक्षा, पृथक कन्टेनरबाट उम्कन अनुमति दिँदै

लिनक्स कर्नेलमा cgroups v2022 संसाधन सीमित गर्ने संयन्त्रको कार्यान्वयनमा जोखिम (CVE-0492-1) को विवरणहरू, जसलाई पृथक कन्टेनरहरूबाट बच्न प्रयोग गर्न सकिन्छ, खुलासा गरिएको छ। समस्या लिनक्स कर्नेल 2.6.24 देखि अवस्थित छ र कर्नेल रिलीज 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266, र 4.9.301 मा फिक्स गरिएको थियो। तपाईंले यी पृष्ठहरूमा वितरणहरूमा प्याकेज अद्यावधिकहरूको प्रकाशनहरू पछ्याउन सक्नुहुन्छ: डेबियन, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux।

जोखिम रिलिज_एजेन्ट फाइल ह्यान्डलरमा तर्क त्रुटिको कारणले गर्दा हो जसले पूर्ण विशेषाधिकारहरूसँग ह्यान्डलर चलाउँदा उचित जाँचहरू गर्न असफल हुन्छ। रिलीज_एजेन्ट फाइल cgroup मा एक प्रक्रिया समाप्त हुँदा कर्नेल द्वारा कार्यान्वयन गरिने कार्यक्रम परिभाषित गर्न प्रयोग गरिन्छ। यो कार्यक्रम रूटको रूपमा र रूट नेमस्पेसमा सबै "सक्षमताहरू" संग चल्छ। यो मानिएको थियो कि रिलीज_एजेन्ट सेटिङमा प्रशासकको मात्र पहुँच थियो, तर वास्तवमा जाँचहरू रूट प्रयोगकर्तालाई पहुँच प्रदान गर्न सीमित थिए, जसले कन्टेनरबाट वा व्यवस्थापक अधिकार बिना रूट प्रयोगकर्ताद्वारा परिवर्तन गरिएको सेटिङलाई बहिष्कार गर्दैन (CAP_SYS_ADMIN )।

पहिले, यस्तो सुविधालाई जोखिमको रूपमा बुझिने थिएन, तर प्रयोगकर्ता नेमस्पेस (प्रयोगकर्ता नेमस्पेस) को आगमनसँगै स्थिति परिवर्तन भएको छ, जसले तपाईंलाई कन्टेनरहरूमा अलग रूट प्रयोगकर्ताहरू सिर्जना गर्न अनुमति दिन्छ जुन मूल प्रयोगकर्तासँग ओभरल्याप हुँदैन। मुख्य वातावरण। तदनुसार, आक्रमणको लागि, तपाइँको रिलीज_एजेन्ट ह्यान्डलरलाई कन्टेनरमा जडान गर्न पर्याप्त छ जसको आफ्नै मूल प्रयोगकर्ता छ अलग प्रयोगकर्ता आईडी स्पेसमा, जुन प्रक्रिया पूरा गरेपछि, मुख्य वातावरणको पूर्ण विशेषाधिकारहरूसँग कार्यान्वयन गरिनेछ।

पूर्वनिर्धारित रूपमा, cgroupfs पठन-मात्र मोडमा कन्टेनरमा माउन्ट गरिएको छ, तर यदि तपाइँसँग CAP_SYS_ADMIN अधिकारहरू छन् वा अनसेयर प्रणाली कल प्रयोग गरेर छुट्टै प्रयोगकर्ता नेमस्पेसको साथ एउटा नेस्टेड कन्टेनर सिर्जना गरेर लेखन मोडमा यो छद्महरू पुन: माउन्ट गर्न कुनै समस्या छैन। CAP_SYS_ADMIN अधिकारहरू सिर्जना गरिएको कन्टेनरको लागि उपलब्ध छन्।

यदि तपाइँसँग पृथक कन्टेनरमा मूल विशेषाधिकारहरू छन् वा no_new_privs फ्ल्याग बिना कन्टेनर चलाउँदा, जसले थप विशेषाधिकारहरू प्राप्त गर्न निषेध गर्दछ भने आक्रमण गर्न सकिन्छ। प्रणालीमा प्रयोगकर्ता नेमस्पेसहरू सक्षम गरिएको हुनुपर्दछ (उबन्टु र फेडोरामा पूर्वनिर्धारित रूपमा सक्षम गरिएको छ, तर डेबियन र आरएचईएलमा सक्रिय छैन) र रूट cgroup v1 मा पहुँच छ (उदाहरणका लागि, डकरले रूट RDMA cgroup मा कन्टेनरहरू चलाउँछ)। यदि तपाइँसँग CAP_SYS_ADMIN विशेषाधिकारहरू छन् भने आक्रमण पनि सम्भव छ, जसमा प्रयोगकर्ता नेमस्पेसहरूको लागि समर्थन र cgroup v1 मूल पदानुक्रममा पहुँच आवश्यक पर्दैन।

पृथक कन्टेनरबाट बाहिर निस्कनुको अतिरिक्त, जोखिमले रूट प्रयोगकर्ताद्वारा "सक्षमताहरू" बिना वा CAP_DAC_OVERRIDE अधिकारहरू भएका कुनै पनि प्रयोगकर्ताद्वारा सुरू गरिएका प्रक्रियाहरूलाई अनुमति दिन्छ (आक्रमणलाई फाइलमा पहुँच चाहिन्छ /sys/fs/cgroup/*/release_agent, जुन हो। रूट द्वारा स्वामित्व) सबै प्रणालीगत "क्षमताहरू" मा पहुँच प्राप्त गर्न।

यो नोट गरिएको छ कि कन्टेनरहरूको अतिरिक्त अलगावको लागि Seccomp, AppArmor वा SELinux सुरक्षा संयन्त्रहरू प्रयोग गर्दा कमजोरीको शोषण गर्न सकिँदैन, किनकि Seccomp ले unshare() प्रणाली कलमा पहुँच रोक्छ, र AppArmor र SELinux ले cgroupfs लाई लेखन मोडमा माउन्ट गर्न अनुमति दिँदैन।

स्रोत: opennet.ru

cgroups v1 मा कमजोरी जसले पृथक कन्टेनरबाट भाग्न अनुमति दिन्छ

एक टिप्पणी थप्न Отменить ответ