Nuglaanta (CVE-2021-4122) ayaa lagu aqoonsaday xirmada Cryptsetup, oo loo isticmaalo in lagu sireeyo qaybaha diskka ee Linux, taas oo u oggolaanaysa sirta in lagu naafo qaybaha qaabka LUKS2 (Linux Unified Key Setup) iyadoo wax laga beddelayo xogta badan. Si looga faa'iidaysto nuglaanta, weerarku waa in uu jidh ahaan u galo warbaahinta sir ah, i.e. Habka ayaa inta badan macno u leh in la weeraro aaladaha kaydinta dibadda ee sir ah, sida Flash Drive-yada, kaas oo qofka weerarka geystay uu marin u leeyahay laakiin aanu garanayn erayga sirta ah si uu u furfuro xogta.
Weerarku wuxuu khuseeyaa oo keliya qaabka LUKS2 wuxuuna la xidhiidhaa wax-is-daba-marinta metadata mas'uul ka ah kicinta kordhinta "recryption online", taas oo u oggolaanaysa, haddii ay lagama maarmaan tahay in la beddelo furaha gelitaanka, si loo bilaabo habka dib-u-soo-celinta xogta ee duulista. iyada oo aan la joojin shaqada qaybta. Maadaama habka furaha furaha cusub uu qaato waqti badan, "Recryption online" waxay suurtogal ka dhigaysaa in aan la joojin shaqada qaybta oo ay dib u soo celiso gadaasha, si tartiib tartiib ah xogta hal fur ilaa mid kale . Waxa kale oo suurtogal ah in la doorto fure bartilmaameed maran, kaas oo kuu ogolaanaya inaad u beddesho qaybta qaab qarsoodi ah.
Weeraryahanku waxa uu isbeddel ku samayn karaa xogta badan ee LUKS2 kaas oo u ekaysiinaya soo rididda hawlgalka furdaamintu sababtuna tahay guul-darrida oo gaadha fur-furida qayb ka mid ah qaybta ka dib hawlgelinta iyo adeegsiga darawalka wax laga beddelay ee mulkiiluhu. Xaaladdan oo kale, adeegsadaha ku xiray darawalka la beddelay oo ku furay erayga sirta ah ee saxda ah ma helayo wax digniin ah oo ku saabsan habka dib u soo celinta hawlgalka dib-u-celinta ee go'ay oo kaliya wuxuu ogaan karaa horumarka hawlgalkan isagoo isticmaalaya "luks Dump" amar. Qadarka xogta uu weeraryahanku kala saari karo waxay ku xiran tahay xajmiga madaxa LUKS2, laakiin cabbirka caadiga ah (16 MiB) wuxuu ka badnaan karaa 3 GB.
Dhibaatada waxaa keenay xaqiiqda in kasta oo dib-u-incryption u baahan yahay xisaabinta iyo xaqiijinta xashiishyada furayaasha cusub iyo kuwii hore, xashiish looma baahna inuu bilaabo furaha sirta ah haddii gobolka cusubi muujinayo maqnaanshaha furaha cad ee sirta. Intaa waxaa dheer, xogta badan ee LUKS2, oo qeexaysa algorithm-ka sireed, lagama ilaaliyo wax ka beddelka haddii ay ku dhacdo gacanta weeraryahan. Si loo xakameeyo nuglaanta, horumariyayaashu waxay ku dareen ilaalin dheeraad ah xogta badan LUKS2, kaas oo xashiish dheeraad ah hadda la hubiyay, lagu xisaabiyay iyadoo lagu salaynayo furayaasha la yaqaan iyo waxa ku jira metadata, i.e. Weeraryahanku si qarsoodi ah uma beddeli karo xogta badan isagoon garanayn erayga sirta ah ee qarsoodiga ah.
Xaaladda caadiga ah ee weerarka waxay u baahan tahay in weeraryahanku awood u yeesho inuu gacmihiisa ku qaado wadista marar badan. Marka hore, weeraryahan aan aqoon erayga sirta ah ee gelitaanka ayaa isbeddel ku sameeya aagga metadata, taasoo kicinaysa fur-furka qayb ka mid ah xogta marka xigta ee la hawlgeliyo. Dareewalka ayaa markaa lagu soo celiyaa meeshiisii, qofka weerarka geystayna wuxuu sugayaa ilaa isticmaaluhu uu ku xirayo isagoo gelaya furaha sirta ah. Marka aaladda uu kiciyo isticmaaluhu, habka dib-u-qorid asalka ah ayaa bilaabmaya, inta lagu guda jiro qayb ka mid ah xogta sir ah lagu beddelayo xogta la furay. Dheeraad ah, haddii weeraryahanku uu maamulo inuu gacmihiisa mar kale saaro qalabka, qaar ka mid ah xogta ku jirta darawalku waxay noqon doonaan qaab qarsoodi ah.
Dhibaatada waxaa aqoonsaday ilaaliye mashruuca cryptsetup oo lagu hagaajiyay cryptsetup 2.4.3 iyo 2.3.7 updates. Xaaladda cusboonaysiinta ee la soo saaray si loo xalliyo dhibaatada qaybinta waxaa lagala socon karaa bogaggan: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Nuglaanta ayaa muuqata tan iyo markii la sii daayay cryptsetup 2.2.0, kaas oo soo bandhigay taageerada hawlgalka "cryption online". Ka shaqaynta ilaalinta, bilaabista "--disable-luks2-reencryption" waa la isticmaali karaa.
Source: opennet.ru