שוואַכקייט אין Linux- די pidfd סובסיסטעם, וואָס ערלויבט לייענען טעקעס וואָס זענען נישט צוטריטלעך פֿאַרן באַניצער

אין קערן Linux די פינפטע (1, 2, 3) קריטישע שוואכקייט אין די לעצטע צוויי וואָכן איז אידענטיפיצירט געוואָרן, וואָס ערלויבט אַ באַניצער צו פֿאַרגרעסערן זייערע פּריווילעגיעס אין סיסטעם. צוויי אַרבעטנדיקע עקספּלויטס זענען פאַרעפֿנטלעכט געוואָרן: sshkeysign_pwn ערלויבט אַן אַנפּריווילעגירטן באַניצער צו לייענען דעם אינהאַלט פֿון פּריוואַטע האָסט SSH שליסלען /etc/ssh/ssh_host_*_key, און chage_pwn ערלויבט אַן אַנפּריווילעגירטן באַניצער צו לייענען דעם אינהאַלט פֿון דער /etc/shadow טעקע וואָס כּולל באַניצער פּאַראָל העשיז.

די שוואַכקייט איז נישט געווען בדעה פֿאַר אַנטפּלעקונג, אָבער אַ זיכערהייטס-פאָרשער איז געווען ביכולת צו ידענטיפיצירן די שוואַכקייט, באַזירט אויף אַ פֿאָרגעלייגטן קערנעל-פּאַטש, וואָס האָט דערמעגלעכט דאָס לייענען פֿון טעקעס וואָס זענען צוטריטלעך נאָר פֿאַרן וואָרצל-באַניצער, ווי /etc/shadow. די קערנעל-ענדערונג האָט צוגעפּאַסט די לאָגיק פֿאַר נוצן די get_dumpable() פֿונקציע אין ptrace ווען מען באַשטימט צוטריט-לעוועלס אין דער ptrace_may_access() פֿונקציע.

די שוואַכקייט ווערט געפֿירט דורך אַ ראַסע צושטאַנד וואָס ערלויבט נישט-פּריווילעגירטן צוטריט צום pidfd טעקע דעסקריפּטאָר נאָך צוטריט צו אַ טעקע פֿון אַ suid וואָרצל פּראָצעס. צווישן עפֿענען דעם טעקע און צוריקשטעלן פּריווילעגיעס אין דעם suid פּראָגראַם (למשל, דורך די setreuid פֿונקציע), ענטשטייט אַ סיטואַציע וואו אַן אַפּליקאַציע וואָס לויפֿט דעם suid וואָרצל פּראָגראַם קען צוטריטן אַ טעקע געעפֿנט דורך דעם suid פּראָגראַם דורך דעם pidfd דעסקריפּטאָר, אפילו אויב די טעקע'ס פּערמישאַנז דערלויבן עס נישט.

די אויסניצבארע פענצטער ענטשטייט ווייל די "__ptrace_may_access()" פונקציע לאזט אויס קאנטראלירן פאר פייל צוטריט אויב דאס task->mm פעלד איז געשטעלט צו NULL נאך exit_mm() אבער פאר exit_files() ווערט גערופן. איצט, נעמט דער pidfd_getfd סיסטעם רוף אן אז דער רופֿנדיקער פּראָצעס'ס באַניצער ID (uid) פּאַסט צו דער באַניצער ID וואָס איז בארעכטיגט צו צוטריטן די פייל. עס איז ווערט צו באַמערקן אַז דאָס פּראָבלעם איז פריער אַדרעסירט געוואָרן אין 2020, אָבער עס בלייבט נישט פאַרריכט.

אין דעם עקספּלויט וואָס באַקומט דעם אינהאַלט פֿון /etc/shadow, באַשטייט די אַטאַקע פֿון איבערחזרן לאָנטשינג די /usr/bin/chage אַפּליקאַציע דורך fork+execl מיטן suid root פֿאָן, וואָס לייענט דעם אינהאַלט פֿון /etc/shadow. נאָכדעם ווי דער פּראָצעס פֿאָרקט זיך, ווערט דער pidfd_open סיסטעם רוף עקסעקוטירט, און אַ שלייף פֿון פֿאַראַן pidfd דעסקריפּטאָרן ווערט דורכגעפֿירט דורך דעם pidfd_getfd סיסטעם רוף און זייער וועריפֿיקאַציע דורך /proc/self/fd. אין דעם sshkeysign_pwn עקספּלויט, ווערן ענלעכע מאַניפּולאַציעס דורכגעפֿירט מיטן suid root ssh-keysign פּראָגראַם.

די פראבלעם איז נאכנישט צוגעטיילט געווארן קיין CVE אידענטיפיצירער, און קערנעל און פעקל אפדעיטס זענען נישט ארויסגעגעבן געווארן אין דיסטריביושאַנז. די שוואכקייט בלייבט נישט געפעטשט אין קערנעלס 7.0.7, 6.18.30, און 6.12.88, ארויסגעגעבן מיט א פאר שעה צוריק. אין דער צייט פון שרייבן, קען נאר דער פעטש גענוצט ווערן. מעגלעכע ארומגיין ווערן דיסקוטירט, ווי למשל שטעלן sysctl kernel.yama.ptrace_scope=3 אדער אראפנעמען דעם suid root פאן פון עקסעקיוטעבלס אין סיסטעם (לפחות פון די ssh-keysign און change יוטיליטיס גענוצט אין עקספלויטס).

דערהייַנטיקונג: די וואַלנעראַביליטי איז צוגעטיילט געוואָרן מיטן אידענטיפיצירער CVE-2026-46333. קערנעל דערהייַנטיקונגען זענען גענערירט געוואָרן. Linux 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207, און 5.10.256 מיט וואַלנעראַביליטי פיקסיז. דער וואַלנעראַביליטי פיקסיז סטאַטוס פֿאַר די דיסטריביושאַנז קען זיין אַססעססעד אויף די בלעטער: Debian, Ubuntu, SUSE/openSUSE, RHEL, דזשענטו, אַרטש, פעדאָראַ.

מקור: opennet.ru