ProHoster > Π‘Π»ΠΎΠ³ > wararka internetka > Nuglaanta ku jirta OverlayFS oo u oggolaanaysa mudnaanta sare u qaadida

Nuglaanta ku jirta OverlayFS oo u oggolaanaysa mudnaanta sare u qaadida

Kernelka Linux, nuglaanta ayaa lagu aqoonsaday hirgelinta nidaamka faylka OverlayFS (CVE-2023-0386), kaas oo loo isticmaali karo in lagu helo xididka nidaamyada leh nidaamka hoose ee FUSE oo lagu rakibay oo u oggolaanaya kor u qaadista qaybaha OverlayFS Isticmaale aan mudnayn (laga bilaabo Linux kernel 5.11 oo lagu daro magaca isticmaale ee aan mudnaanta lahayn). Dhibaatada waxaa lagu hagaajiyay laanta kernel 6.2. Daabacaadda cusboonaysiinta xirmada ee qaybinta waxaa lagala socon karaa bogagga: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Weerarka waxa lagu fuliyaa iyadoo la koobiyeeyo faylal wata calanka setgid/setuid oo ka yimid qayb ku rakiban qaab nosuid ah ilaa qayb OverlayFS ah oo leh lakab la xidhiidha qaybta u ogolaanaysa fulinta faylalka suid. Nuglaanta waxay ku dhowdahay arrinta CVE-2021-3847 ee lagu aqoonsaday 2021, laakiin waxay leedahay shuruudo ka faa'iidaysi hooseeya - arrintii hore waxay u baahnayd khalkhalgelinta xattrs, taas oo xaddidan marka la isticmaalayo meelaha magac-isticmaalka, iyo arrinta cusub waxay isticmaashaa bits setgid/setuid, kuwaas oo ah aan si gaar ah loogu maamulin goobta magaca isticmaalaha.

Algorithm-ka weerarka:

  • Isticmaalka nidaamka hoose ee FUSE, nidaamka faylka ayaa lagu rakibay, kaas oo uu ku jiro fayl la fulin karo oo uu leeyahay xididka isticmaalaha oo leh calamo setuid/setgid, oo ay heli karaan dhammaan isticmaalayaasha si ay u qoraan. Marka la rakibo, FUSE waxay dejisaa habka "nosuid".
  • Isticmaalaha/buurka magacyada meelaha aan la wadaagin
  • OverlayFS waa la rakibay, iyada oo qeexaysa FS hore loogu abuuray FUSE sida lakabka hoose iyo lakabka sare ee ku salaysan hagaha la qori karo. Tusaha lakabka sare waa inuu ku yaal nidaamka faylalka aan isticmaalin calanka "nosuid" marka la saarayo.
  • Faylka suid ee qaybta FUSE, utility taabashada ayaa bedesha wakhtiga wax ka beddelka, taas oo u horseedaysa koobiyeynteeda lakabka sare ee OverlayFS.
  • Marka la koobiyaynayo, kernelku ma nadiifiyo calanka setgid/setuid, taas oo keenta in faylka uu ka soo muuqdo qayb u oggolaanaysa habaynta setgid/setuid.
  • Si aad u hesho xuquuqaha xididka, kaliya ku socodsii feylka calamada setgid/setuid ee hagaha ku lifaaqan lakabka sare ee OverlayFS.

Intaa waxaa dheer, waxaan ogaan karnaa siideynta cilmi-baarayaasha kooxda Google Project Zero ee macluumaadka ku saabsan saddexda dayacan ee lagu hagaajiyay laanta ugu weyn ee Linux kernel 5.15, laakiin aan loo wareejin xirmooyinka kernel-ka ee RHEL 8.x/9. x iyo CentOS Stream 9.

  • CVE-2023-1252 - Helitaanka aagga xusuusta ee hore loo xoreeyay ee qaab dhismeedka ovl_aio_req marka la fulinayo hawlo badan oo isku mar ah OverlayFS oo la geeyay dusha nidaamka faylka Ext4. Sida suurtogalka ah, baylahdu waxay kuu ogolaanaysaa inaad kordhiso mudnaantaada nidaamka.
  • CVE-2023-0590 - Helitaanka xusuusta hore loo xoreeyay ee shaqada qdisc_graft(). Hawlgalku waxa loo malaynayaa inuu ku kooban yahay joojinta aan caadiga ahayn.
  • CVE-2023-1249 Helitaanka xusuusta ee hore u xoreeyay ee koodhka qoraalka coredump waxay u dhacdaa sababtoo ah wicitaanka seegay ee mmap_lock ee file_files_note. Hawlgalku waxa loo malaynayaa inuu ku kooban yahay joojinta aan caadiga ahayn.

Source: opennet.ru

Add a comment