GRO Frag: Isang Bagong Kahinaan ng LPE sa Network Stack Linux nagbibigay-daan sa iyo na mag-ugat

Isang pagsasamantala para sa GRO Frag - kahinaan sa pagpapataas ng lokal na pribilehiyo sa kernel Linux, na may kaugnayan sa pagproseso ng GRO at zero-copy skb sa network stack. Ang eksaktong petsa ng unang pagkakatuklas ay hindi nakasaad sa mga pampublikong talaan.Batay sa open source na ebidensya, dalawang petsa ang matutukoy: ang pag-aayos ay napag-usapan na sa netdev mailing list. 20 Mayo 2026 taon, kung saan ang kahinaang ito ay inilarawan na bilang angkop para sa pag-overwrite ng cache ng pahina, at isang pampublikong PoC ang nai-post sa GitHub Gist 22 Mayo 2026 taon.

Bilang pansamantalang hakbang hanggang sa mai-install ang na-patch na kernel, maaaring limitahan ang attack vector sa pamamagitan ng sysctl: kernel.io_uring_disabled=1. Pinipigilan ng setting na ito ang mga prosesong walang pribilehiyo sa paglikha ng mga bagong io_uring instance maliban kung kasama ang mga ito sa pinahihintulutang io_uring_group; na may value ng grupo na -1, ang access ay mananatili lamang para sa mga prosesong may CAP_SYS_ADMIN. Ito ay isang mitigasyon, hindi isang ganap na solusyon.

Ang isyu ay nasa function na skb_gro_receive(): kapag pinagsasama ang mga GRO packet, maaaring maglipat ang kernel ng mga fragment mula sa isang zero-copy skb patungo sa isa pang skb nang hindi wastong sinusuri ang zero-copy state at ang SKBFL_MANAGED_FRAG_REFS flag. Bilang resulta, ang mga memory page na walang hiwalay na reference ang orihinal na skb ay maaaring maling ma-free, na hahantong sa use-after-free. Malinaw na nakasaad sa patch na ang sitwasyong ito ay maaaring humantong sa isang UAF, at gayundin na ang natukoy na variant ay angkop para sa pag-overwrite ng page cache.

Inilalarawan ng inilathalang PoC ang kahinaan bilang LPE sa pamamagitan ng GRO managed-frag UAF gamit ang io_uring SEND_ZC at ang veth virtual network interface. Ipinapahiwatig ng komento ng code na ang mga apektadong kernel Linux 6.0 +, ang pagsasamantala ay posible ng isang walang pribilehiyong gumagamit, ngunit nangangailangan ng magagamit na io_uring; isang pag-aayos ang pinangalanan mangako 4db79a322db8 na may pagbabagong "net: gro: huwag pagsamahin ang zcopy skbs".


Kung pag-uusapan ang mga kahihinatnan, ang GRO Frag ay nabibilang sa parehong mapanganib na uri ng mga error tulad ng Copy Fail at Dirty Frag: ang isang attacker na may lokal at walang pribilehiyong access ay nagbabago ng data sa page cache, ibig sabihin, sa memory, nang hindi kinakailangang baguhin ang file sa disk. Ang mga ganitong error ay partikular na nakakasama dahil isinasapanganib nito ang hangganan sa pagitan ng isang read-only na file at ang aktwal na nilalaman na nakikita ng kernel at mga proseso sa mga kasunod na pag-access. inilarawan kanina Ang klaseng ito ay isang praktikal na paraan upang makakuha ng root sa pamamagitan ng page-cache corruption.

Sa panahon ng paglalathala, ang isang partikular na CVE identifier para sa GRO Frag, batay sa mga magagamit na ulat, ay hindi pa naitalaga. Bilang pansamantalang hakbang, dapat isaalang-alang ng mga administrador ang pag-update ng kernel sa isang patched na bersyon, pati na rin ang mga pangkalahatang hakbang sa pagpapagaan para sa mga katulad na LPE: paghihigpit sa mga unprivileged user namespace kung saan naaangkop, pagkontrol sa paggamit ng io_uring, at pagsubaybay para sa mga kahina-hinalang chain na may kaugnayan sa local privilege escalation. Para sa mga kaugnay na pag-atake ng Copy Fail/DirtyFrag, inirerekomenda rin ng Elastic ang pagsasama ng patching sa pag-detect ng mga low-level exploitation primitive.

Ang mga low-level exploitation primitive ay hindi ang mismong "handa nang hack," kundi ang mga pangunahing teknikal na pamamaraan kung saan binubuo ang isang exploit.

Sa konteksto ng GRO Frag, maaaring hindi ito nangangahulugan ng pagtuklas sa nakahandang katotohanan na "ang gumagamit ay naging root na," kundi isang pagtatangka na mapansin ang mga indibidwal na kahina-hinalang aksyon na ginagamit ng exploit patungo sa pagtaas ng mga pribilehiyo.

Pinagmulan: linux.org.ru

Bumili ng maaasahang pagho-host para sa mga site na may proteksyon ng DDoS, mga server ng VPS VDS πŸ”₯ Bumili ng maaasahang website hosting na may proteksyon ng DDoS, VPS VDS servers | ProHoster