В поставляемой в ядре Linux реализации сетевого протокола TIPC (Transparent Inter-process Communication) выявлена критическая уязвимость (CVE-2021-43267), позволяющая удалённо через отправку специально оформленного сетевого пакета добиться выполнения своего кода с привилегиями ядра. Опасность проблемы сглаживает то, что для атаки требуется явное включение поддержки TIPC в системе (загрузка и настройка модуля ядра tipc.ko), которая в неспециализированных дистрибутивах Linux не производится по умолчанию.
Протокол TIPC поддерживается начиная с ядра Linux 3.19, но приводящий к уязвимости код был включён в состав ядра 5.10. Уязвимость устранена ядрах 5.15.0, 5.10.77 и 5.14.16. Проблема проявляется и пока не устранена в Debian 11, Ubuntu 21.04/21.10, SUSE (в ещё не выпущенной ветке SLE15-SP4), RHEL (пока не детализируется было ли бэкпортировано уязвимое исправление) и Fedora. Обновление ядра уже выпущено для Arch Linux. Дистрибутивы с ядром старше 5.10, такие как Debian 10 и Ubuntu 20.04, проблеме не подвержены.
TIPC پروٹوکول اصل میں Ericsson کی طرف سے تیار کیا گیا تھا، جو ایک کلسٹر میں انٹر پروسیس کمیونیکیشن کو منظم کرنے کے لیے ڈیزائن کیا گیا تھا اور بنیادی طور پر کلسٹر نوڈس پر فعال ہوتا ہے۔ TIPC ایتھرنیٹ یا UDP (نیٹ ورک پورٹ 6118) پر کام کر سکتا ہے۔ ایتھرنیٹ پر کام کرتے وقت، حملہ مقامی نیٹ ورک سے کیا جا سکتا ہے، اور UDP کا استعمال کرتے وقت، عالمی نیٹ ورک سے، اگر پورٹ فائر وال سے ڈھکی نہ ہو۔ یہ حملہ میزبان کا غیر مراعات یافتہ مقامی صارف بھی کر سکتا ہے۔ TIPC کو چالو کرنے کے لیے، آپ کو tipc.ko کرنل ماڈیول ڈاؤن لوڈ کرنا ہوگا اور نیٹ لنک یا tipc یوٹیلیٹی کا استعمال کرتے ہوئے نیٹ ورک انٹرفیس پر بائنڈنگ کو کنفیگر کرنا ہوگا۔
Уязвимость проявляется в функции tipc_crypto_key_rc и вызвана отсутствием должной проверки соответствия указанного в заголовке и фактического размера данных при разборе пакетов с типом MSG_CRYPTO, используемых для получения ключей шифрования от других узлов а кластере с целью последующей расшифровки сообщений, отправляемых с этих узлов. Размер копируемых в память данных вычисляется как разница между значений полей с размером сообщения и размером заголовка, но без учёта фактического размера передаваемого в сообщении названия алгоритма шифрования и содержимого ключа. Подразумевается, что размер названия алгоритма фиксирован, а для ключа дополнительно передаётся отдельный атрибут с размером, и атакующий может указать в этом атрибуте значение, отличающееся от фактического, что приведёт к записи хвоста сообщения за пределы выделенного буфера. struct tipc_aead_key { char alg_name[TIPC_AEAD_ALG_NAME]; unsigned int keylen; /* in bytes */ char key[]; };
ماخذ: opennet.ru