ProHoster > Blog > litaba tsa inthanete > Kotsi ho OverlayFS e lumellang ho eketseha ha menyetla

Kotsi ho OverlayFS e lumellang ho eketseha ha menyetla

Ka har'a kernel ea Linux, ho bonahetse ho ba le tlokotsi ts'ebetsong ea sistimi ea faele ea OverlayFS (CVE-2023-0386), e ka sebelisoang ho fumana metso ho litsamaiso tse kentsoeng tsamaiso e nyane ea FUSE le ho lumella ho hlongoa ha likarolo tsa OverlayFS mosebelisi ea se nang tokelo (ho qala ka Linux kernel 5.11 ka kenyelletso ea sebaka sa mabitso sa mosebelisi). Bothata bo ile ba lokisoa lekaleng la 6.2 kernel. Phatlalatso ea lintlafatso tsa liphutheloana kabong e ka lateloa maqepheng: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Tlhaselo e etsoa ka ho kopitsa lifaele tse nang le lifolakha tsa setgid/setuid ho tloha karolong e behiloeng ka mokhoa oa nosuid ho ea karolong ea OverlayFS e nang le lera le amanang le karohano e lumellang ho etsoa ha lifaele tsa suid. Kotsi e haufi le taba ea CVE-2021-3847 e khethiloeng ka 2021, empa e na le litlhoko tse tlase tsa tšebeliso - taba ea khale e ne e hloka ho qhekella ha xattrs, e nang le moeli ha o sebelisa libaka tsa mabitso a basebelisi, 'me taba e ncha e sebelisa bits setgid/setuid, e leng ha e sebetse ka kotloloho sebakeng sa mabitso sa basebelisi.

Tlhaselo algorithm:

  • U sebelisa sistimi e nyane ea FUSE, sistimi ea faele e kentsoe, eo ho eona ho nang le faele e sebetsang ea mosebelisi ea nang le lifolakha tsa setuid/setgid, tse fumanehang ho basebelisi bohle bakeng sa ho ngola. Ha u hlongoa, FUSE e beha mokhoa oa "nosuid".
  • Libaka tsa mabitso tsa basebelisi/thaba ha lia arolelanoa.
  • OverlayFS e behiloe, e hlalosang FS e neng e entsoe pele ho FUSE e le lera le ka tlase le karolo e ka holimo e thehiloeng bukeng e ngoloang. Lenane la ka holimo le tlameha ho behoa tsamaisong ea faele e sa sebeliseng folakha ea "nosuid" ha e e kenya.
  • Bakeng sa faele ea suid karohanong ea FUSE, sesebelisoa sa ho ama se fetola nako ea phetoho, e lebisang ho e kopitsitseng mokatong o kaholimo oa OverlayFS.
  • Ha u kopitsa, kernel ha e hlakise lifolakha tsa setgid/setuid, e leng se etsang hore faele e hlahe ka karohano e lumellang ho sebetsa ha setgid/setuid.
  • Ho fumana litokelo tsa motso, tsamaisa faele feela ka lifolakha tsa setgid/setuid ho tsoa bukeng e hokelletsoeng karolong e kaholimo ea OverlayFS.

Ho feta moo, re ka hlokomela ho senoloa ke bafuputsi ba sehlopha sa Google Project Zero ba tlhahisoleseling mabapi le likotsi tse tharo tse neng li tsitsitse lekaleng le ka sehloohong la Linux kernel 5.15, empa ha lia ka tsa fetisetsoa ho liphutheloana tse nang le kernel ho tloha ho RHEL 8.x/9. x le CentOS Stream 9.

  • CVE-2023-1252 - phihlello ea sebaka sa memori se seng se lokolotsoe sebopeho sa ovl_aio_req ha o etsa ts'ebetso e mengata ka nako e le 'ngoe ho OverlayFS e kentsoeng holim'a sistimi ea faele ea Ext4. Mohlomong, ho ba kotsing ho u lumella ho eketsa litokelo tsa hau tsamaisong.
  • CVE-2023-0590 - Ho fihlella memori e seng e lokolotsoe ts'ebetsong ea qdisc_graft(). Ho nahanoa hore ts'ebetso e lekanyelitsoe ho felisoa ka mokhoa o sa tloaelehang.
  • CVE-2023-1249 phihlello ea memori e seng e lokolotsoe khoutu ea ho ngola ea coredump e etsahala ka lebaka la mohala o fetileng ho mmap_lock ho file_files_note. Ho nahanoa hore ts'ebetso e lekanyelitsoe ho felisoa ka mokhoa o sa tloaelehang.

Source: opennet.ru

Eketsa ka tlhaloso