Kotsi (CVE-2021-4122) e khethiloe ka har'a sephutheloana sa Crypsetup, se sebelisetsoang ho encrypt partitions disk ho Linux, e lumellang hore encryption e koetsoe likarolong tsa LUKS2 (Linux Unified Key Setup) ka ho fetola metadata. Ho sebelisa monyetla oa ho ba kotsing, mohlaseli o tlameha ho ba le phihlello ea 'mele mecheng ea litaba e patiloeng, ke hore. Mokhoa ona oa utloahala haholo-holo bakeng sa ho hlasela lisebelisoa tsa polokelo tsa kantle tse patiloeng, joalo ka li-flash drives, tseo mohlaseli a ka li fihlelang empa a sa tsebe senotlolo sa ho hlakola data.
Tlhaselo e sebetsa feela bakeng sa sebopeho sa LUKS2 mme e amahanngoa le ho qhekella ha metadata e ikarabellang bakeng sa ho kenya ts'ebetsong katoloso ea "incryption reencryption", e lumellang, haeba ho hlokahala ho fetola senotlolo sa phihlello, ho qala ts'ebetso ea ho hlakoloa ha data hape ka fofa. ntle le ho emisa mosebetsi ka karohano. Kaha ts'ebetso ea ho hlakola le ho ngola ka senotlolo se secha e nka nako e ngata, "incryption reencryption" e etsa hore ho khonehe hore u se ke ua sitisa mosebetsi ka karohano le ho etsa encryption ka morao, butle-butle ho hlakola data ho tloha senotlolo se seng ho ea ho se seng. . Hape hoa khoneha ho khetha senotlolo se se nang letho, se u lumellang hore u fetole karolo hore e be foromo e sirelelitsoeng.
Mohlaseli a ka etsa liphetoho ho metadata ea LUKS2 e etsisang ts'ebetso ea ts'ebetso ea ho hlakola ka lebaka la ho hloleha le ho fihlela ho hlakoloa ha karolo ea karohano ka mor'a ts'ebetso le ts'ebeliso ea drive e fetotsoeng ke mong'a eona. Tabeng ena, mosebelisi ea hokahaneng le drive e fetotsoeng mme a e notlolla ka password e nepahetseng ha a fumane temoso efe kapa efe mabapi le ts'ebetso ea ho khutlisa ts'ebetso e sitisitsoeng ea ho ngola hape mme a ka tseba feela ka tsoelo-pele ea ts'ebetso ena a sebelisa "luks Dump" laela. Palo ea data eo mohlaseli a ka e hlakolang e itšetlehile ka boholo ba hlooho ea LUKS2, empa ka boholo ba kamehla (16 MiB) e ka feta 3 GB.
Bothata bo bakoa ke taba ea hore leha ho hlakoloa bocha ho hloka ho bala le ho netefatsa li-hashes tsa linotlolo tse ncha le tsa khale, hash ha e hlokehe ho qala ho hlakoloa haeba naha e ncha e fana ka maikutlo a ho ba sieo ha senotlolo sa mongolo bakeng sa encryption. Ntle le moo, metadata ea LUKS2, e hlalosang algorithm ea encryption, ha e sirelelitsoe ho fetoloa haeba e oela matsohong a mohlaseli. E le ho thibela ho ba kotsing, bahlahisi ba kentse tšireletso e eketsehileng bakeng sa metadata ho LUKS2, eo hona joale ho hlahlojoang hash e eketsehileng, e baloang ho latela linotlolo tse tsejoang le litaba tsa metadata, ke hore. mohlaseli a ke ke a hlola a fetola metadata ka lekunutu ntle le ho tseba password ea decryption.
Boemo bo tloaelehileng ba tlhaselo bo hloka hore mohlaseli a khone ho kenya matsoho ka koloi ka makhetlo a mangata. Ntlha ea pele, mohlaseli ea sa tsebeng phasewete ea ho kena o etsa liphetoho sebakeng sa metadata, e leng se etsang hore ho be le ho hlakoloa ha karolo ea data nakong e tlang ha koloi e etsoa. Ebe koloi e khutlisetsoa sebakeng sa eona mme mohlaseli o emela ho fihlela mosebelisi a e hokahanya ka ho kenya phasewete. Ha sesebelisoa se kentsoe ke mosebelisi, ts'ebetso ea morao-rao ea encryption e qala, nakong eo karolo ea data e patiloeng e nkeloang sebaka ke data e hlakotsoeng. Ho feta moo, haeba mohlaseli a khona ho beha matsoho holim'a sesebelisoa hape, lintlha tse ling tsa koloi li tla be li le ka mokhoa o sirelelitsoeng.
Bothata bo ile ba khetholloa ke mohlokomeli oa morero oa cryptsetup mme o tsitsitse ho cryptsetup 2.4.3 le 2.3.7 updates. Boemo ba lintlafatso tse hlahisoang ho lokisa bothata kabong bo ka lateloa maqepheng ana: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Kotsi e hlaha feela ho tloha ha ho lokolloa cryptsetup 2.2.0, e hlahisitseng tšehetso bakeng sa ts'ebetso ea "online reencryption". E le mokhoa oa ho sireletsa, ho qala ka khetho ea "--disable-luks2-reencryption" ho ka sebelisoa.
Source: opennet.ru