וואַלנעראַביליטי אין cgroups v1 וואָס אַלאַוז אַנטלויפן פון אַן אפגעזונדערט קאַנטיינער

פרטים פון א שוואכקייט (CVE-2022-0492) אין דער אימפלעמענטאציע פון ​​די cgroups v1 רעסורס לימיטינג מעקאניזם אין די קערנעל זענען געווארן אנטפלעקט. Linux, וואָס קען גענוצט ווערן צו אַנטלויפן פון אפגעזונדערטע קאַנטיינערס. די פּראָבלעם מאַניפעסטירט זיך אָנהייבנדיק מיטן קערנעל. Linux 2.6.24 און פארראכטן אין קערנעל אויסגאבעס 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266, און 4.9.301. איר קענט נאכפאלגן די אויסגאבע פון ​​פעקל אפדעיטס אין דיסטריביושאַנז אויף די בלעטער: Debian, סוסע, Ubuntu, RHEL, פעדאָראַ, דזשענטו, אַרטש Linux.

די וואַלנעראַביליטי איז רעכט צו אַ לאָגיק טעות אין די release_agent טעקע האַנדלער וואָס פיילז צו דורכפירן געהעריק טשעקס ווען פליסנדיק די האַנדלער מיט פול פּריווילאַדזשאַז. די release_agent טעקע איז געניצט צו דעפינירן די פּראָגראַם צו זיין עקסאַקיוטאַד דורך די קערן ווען אַ פּראָצעס אין אַ cgroup איז טערמאַנייטיד. דער פּראָגראַם לויפט ווי וואָרצל און מיט אַלע "קייפּאַבילאַטיז" אין דער וואָרצל נאַמעספּאַסע. עס איז געווען אנגענומען אַז בלויז דער אַדמיניסטראַטאָר האט צוטריט צו די release_agent באַשטעטיקן, אָבער אין פאַקט, די טשעקס זענען לימיטעד צו געבן אַקסעס צו דער וואָרצל באַניצער, וואָס האט נישט ויסשליסן די סעטטינגס פון דעם קאַנטיינער אָדער דורך אַ וואָרצל באַניצער אָן אַדמיניסטראַטאָר רעכט (CAP_SYS_ADMIN) ).

ביז אַהער, אַזאַ אַ שטריך וואָלט נישט זיין באמערקט ווי אַ וואַלנעראַביליטי, אָבער די סיטואַציע איז פארענדערט מיט די אַדווענט פון באַניצער נאַמעספּאַסעס (באַניצער נאַמעספּאַסעס), וואָס לאָזן איר צו שאַפֿן באַזונדער וואָרצל יוזערז אין קאַנטיינערז וואָס טאָן ניט אָוווערלאַפּ מיט די וואָרצל באַניצער. הויפּט סוויווע. אַקקאָרדינגלי, פֿאַר אַ באַפאַלן, עס איז גענוג צו פאַרבינדן דיין release_agent האַנדלער אין אַ קאַנטיינער וואָס האט זיין אייגענע וואָרצל באַניצער אין אַ באַזונדער באַניצער שייַן פּלאַץ, וואָס, נאָך קאַמפּליטינג דעם פּראָצעס, וועט זיין עקסאַקיוטאַד מיט פול פּריווילאַדזשאַז פון די הויפּט סוויווע.

דורך פעליקייַט, cgroupfs איז מאָונטעד אין אַ קאַנטיינער אין לייענען-בלויז מאָדע, אָבער עס איז קיין פּראָבלעם רימאָונטינג דעם פּסעודאָפס אין שרייַבן מאָדע אויב איר האָבן CAP_SYS_ADMIN רעכט אָדער דורך שאַפֿן אַ נעסטעד קאַנטיינער מיט אַ באַזונדער באַניצער נאָמען מיט די ונשאַרע סיסטעם רופן, אין וואָס CAP_SYS_ADMIN רעכט זענען בארעכטיגט פֿאַר די באשאפן קאַנטיינער.

די אטאקע קען דורכגעפירט ווערן מיט רוט פריווילעגיעס אין אן אפגעזונדערטן קאנטעינער אדער ווען מען לויפט א קאנטעינער אן דעם no_new_privs פאן, וואס פארמיידט צוגעלייגטע פריווילעגיעס פון געגעבן ווערן. באניצער נעמענספעיס מוזן זיין איינגעשטעלט אויפן סיסטעם (איינגעשטעלט דורך דיפאלט אין Ubuntu און פעדאָראַ, אָבער נישט אַקטיוויזירט אין Debian און RHEL) און צוטריט צו דער וואָרצל cgroup v1 (למשל, Docker לויפט קאָנטעינערס אין דער וואָרצל RDMA cgroup). די אַטאַקע איז אויך מעגלעך מיט CAP_SYS_ADMIN פּריווילעגיעס, אין וועלכן פאַל באַניצער נעמענספּייס שטיצע און צוטריט צו דער וואָרצל cgroup v1 כייעראַרכיע זענען נישט פארלאנגט.

אין אַדישאַן צו אַנטלויפן פון אַן אפגעזונדערט קאַנטיינער, די וואַלנעראַביליטי אויך אַלאַוז פּראַסעסאַז לאָנטשט דורך אַ וואָרצל באַניצער אָן "קייפּאַבילאַטיז" אָדער קיין באַניצער מיט CAP_DAC_OVERRIDE רעכט (די באַפאַלן ריקווייערז אַקסעס צו דער טעקע /sys/fs/cgroup/*/release_agent, וואָס איז אָונד דורך וואָרצל) צו באַקומען אַקסעס צו אַלע סיסטעמיק "קייפּאַבילאַטיז".

עס ווערט באַמערקט אַז די וואַלנעראַביליטי קען נישט אויסגענוצט ווערן ווען מען ניצט די Seccomp, AppArmor אדער SE שוץ מעקאַניזמען.Linux פֿאַר נאָך מער אפגעזונדערטקייט פֿון קאָנטעינערס, ווײַל סעקקאָמפּ בלאָקירט דעם רוף צום unshare() סיסטעם רוף, און AppArmor און SELinux ערלויבט נישט צו מאָנטירן cgroupfs אין שרייב מאָדע.

מקור: opennet.ru