کور میں Linux پچھلے دو ہفتوں میں پانچویں (1, 2, 3) نازک خطرے کی نشاندہی کی گئی ہے، جس سے صارف کو سسٹم میں اپنے مراعات میں اضافہ کرنے کی اجازت دی گئی ہے۔ دو کام کرنے والے کارنامے شائع کیے گئے ہیں: sshkeysign_pwn ایک غیر مراعات یافتہ صارف کو نجی میزبان SSH کیز /etc/ssh/ssh_host_*_key کے مواد کو پڑھنے کی اجازت دیتا ہے، اور chage_pwn ایک غیر مراعات یافتہ صارف کو صارف کے پاس ورڈ ہیشز پر مشتمل /etc/shadow فائل کے مواد کو پڑھنے کی اجازت دیتا ہے۔
خطرے کا مقصد انکشاف کے لیے نہیں تھا، لیکن ایک سیکیورٹی محقق مجوزہ کرنل پیچ کی بنیاد پر خطرے کی نشاندہی کرنے کے قابل تھا، جس سے فائلوں کو پڑھنے کی اجازت صرف روٹ صارف کے لیے قابل رسائی تھی، جیسے کہ /etc/shadow۔ کرنل کی تبدیلی نے ptrace_may_access() فنکشن میں رسائی کی سطح کا تعین کرتے وقت ptrace میں get_dumpable() فنکشن استعمال کرنے کی منطق کو ایڈجسٹ کیا۔
خطرے کی وجہ ریس کی حالت ہے جو سوڈ روٹ پروسیس سے فائل تک رسائی کے بعد pidfd فائل ڈسکرپٹر تک غیر مراعات یافتہ رسائی کی اجازت دیتی ہے۔ فائل کو کھولنے اور سوڈ پروگرام میں مراعات کو دوبارہ ترتیب دینے کے درمیان (مثال کے طور پر، setreuid فنکشن کے ذریعے)، ایک ایسی صورت حال پیدا ہوتی ہے جہاں سوڈ روٹ پروگرام چلانے والی ایپلی کیشن سوڈ پروگرام کے ذریعے pidfd ڈسکرپٹر کے ذریعے کھولی گئی فائل تک رسائی حاصل کر سکتی ہے، چاہے فائل کی اجازتیں اس کی اجازت نہ دیں۔
استحصالی ونڈو اس لیے پیدا ہوتی ہے کیونکہ "__ptrace_may_access()" فنکشن فائل تک رسائی کی جانچ کرنا چھوڑ دیتا ہے اگر ٹاسک->mm فیلڈ کو ایگزٹ_مم() کے بعد NULL پر سیٹ کیا جاتا ہے لیکن exit_files() کو کال کرنے سے پہلے۔ فی الحال، pidfd_getfd سسٹم کال فرض کرتی ہے کہ کال کرنے کے عمل کی صارف ID (uid) فائل تک رسائی کے مجاز صارف ID سے میل کھاتی ہے۔ یہ بات قابل غور ہے کہ اس مسئلے کو پہلے 2020 میں حل کیا گیا تھا، لیکن یہ ابھی تک غیر طے شدہ ہے۔
اس استحصال میں جو /etc/shadow کے مواد کو حاصل کرتا ہے، حملہ /usr/bin/chage ایپلی کیشن کو فورک + execl کے ذریعے suid روٹ فلیگ کے ساتھ بار بار شروع کرنے پر مشتمل ہوتا ہے، جو /etc/shadow کے مواد کو پڑھتا ہے۔ پروسیس فورکس کے بعد، pidfd_open سسٹم کال کو عمل میں لایا جاتا ہے، اور دستیاب pidfd ڈسکرپٹرز کا ایک لوپ pidfd_getfd سسٹم کال کے ذریعے انجام دیا جاتا ہے اور ان کی تصدیق /proc/self/fd کے ذریعے کی جاتی ہے۔ sshkeysign_pwn exploit میں، اسی طرح کی ہیرا پھیری suid root ssh-keysign پروگرام کے ساتھ کی جاتی ہے۔
مسئلہ کو ابھی تک CVE شناخت کنندہ تفویض نہیں کیا گیا ہے، اور کرنل اور پیکیج اپ ڈیٹ تقسیم میں شائع نہیں کیے گئے ہیں۔ چند گھنٹے پہلے جاری کیے گئے کرنل 7.0.7، 6.18.30، اور 6.12.88 میں کمزوری باقی ہے۔ لکھنے کے وقت، صرف پیچ استعمال کیا جا سکتا ہے. ممکنہ حل پر تبادلہ خیال کیا جا رہا ہے، جیسے کہ sysctl kernel.yama.ptrace_scope=3 ترتیب دینا یا سسٹم میں ایگزیکیوٹیبلز سے سوڈ روٹ فلیگ کو ہٹانا (کم از کم ssh-keysign اور chage یوٹیلٹیز سے جو استحصال میں استعمال ہوتا ہے)۔
اپ ڈیٹ: خطرے کو شناخت کنندہ CVE-2026-46333 تفویض کیا گیا ہے۔ کرنل اپڈیٹس تیار ہو چکے ہیں۔ Linux 7.0.8، 6.18.31، 6.12.89، 6.6.139، 6.1.173، 5.15.207، اور 5.10.256 خطرے سے متعلق اصلاحات کے ساتھ۔ ان ڈسٹری بیوشنز کے لیے خطرے کی درستگی کی کیفیت کا اندازہ ان صفحات پر لگایا جا سکتا ہے: Debian, Ubuntu، SUSE/openSUSE، RHEL، Gentoo، Arch، Fedora۔
ماخذ: opennet.ru
