וואַלנעראַביליטיז אין די eBPF סאַבסיסטעם וואָס לאָזן קאָד דורכפירונג אויף די לינוקס קערן מדרגה

צוויי נייַע וואַלנעראַביליטיז זענען יידענאַפייד אין די eBPF סאַבסיסטעם, וואָס אַלאַוז איר צו לויפן האַנדלערס אין די לינוקס קערן אין אַ ספּעציעל ווירטואַל מאַשין מיט JIT. ביידע וואַלנעראַביליטיז מאַכן עס מעגלעך צו ויספירן דיין קאָד מיט קערן רעכט, אַרויס פון אַן אפגעזונדערט eBPF ווירטואַל מאַשין. אינפֿאָרמאַציע וועגן די פּראָבלעמס איז ארויס דורך די Zero Day Initiative מאַנשאַפֿט, וואָס לויפט די Pwn2Own פאַרמעסט, בעשאַס וואָס דעם יאָר דריי אנפאלן אויף ובונטו לינוקס זענען דעמאַנסטרייטיד אַז געוויינט ביז אַהער אומבאַקאַנט וואַלנעראַביליטיז (צי די וואַלנעראַביליטיז אין eBPF זענען שייַכות צו די אנפאלן איז נישט געמאלדן) .

• CVE-2021-3490 - די וואַלנעראַביליטי איז געפֿירט דורך אַ פעלן פון 32-ביסל אַוט-פון-באַונד קאָנטראָלירונג ווען איר דורכפירן ביטווייז AND, OR און XOR אַפּעריישאַנז אין eBPF ALU32. אַ אַטאַקער קענען נוצן דעם טעות צו לייענען און שרייַבן דאַטן אַרויס די גרענעץ פון די אַלאַקייטיד באַפער. דער פּראָבלעם מיט XOR אַפּעריישאַנז איז סטאַרטינג פון קערן ווערסיע 5.7-rc1, און AND און OR - סטאַרטינג פון 5.10-rc1.
• CVE-2021-3489 - די וואַלנעראַביליטי איז געפֿירט דורך אַ טעות אין די ימפּלאַמענטיישאַן פון די רינג באַפער און איז רעכט צו דעם פאַקט אַז די bpf_ringbuf_reserve פונקציע האט נישט קאָנטראָלירן די מעגלעכקייט אַז די גרייס פון די אַלאַקייטיד זכּרון געגנט קען זיין ווייניקער ווי די פאַקטיש גרייס פון די רינגבוף. דער פּראָבלעם איז ארויס זינט מעלדונג 5.8-rc1.

די סטאַטוס פון פּאַטטשינג וואַלנעראַביליטיז אין דיסטריביושאַנז קענען זיין טראַקט אויף די בלעטער: Ubuntu, Debian, RHEL, Fedora, SUSE, Arch). פיקסיז זענען אויך בנימצא ווי פּאַטשאַז (CVE-2021-3489, CVE-2021-3490). צי די אַרויסגעבן קענען זיין עקספּלויטאַד דעפּענדס אויף צי די eBPF סיסטעם רופן איז צוטריטלעך צו דער באַניצער. פֿאַר בייַשפּיל, אין די פעליקייַט קאַנפיגיעריישאַן אין RHEL, עקספּלויטיישאַן פון די וואַלנעראַביליטי ריקווייערז דער באַניצער צו האָבן CAP_SYS_ADMIN רעכט.

סעפּעראַטלי, מיר קענען טאָן אן אנדער וואַלנעראַביליטי אין די לינוקס קערן - CVE-2021-32606, וואָס אַלאַוז אַ היגע באַניצער צו כאַפּן זייער פּריווילאַדזשאַז צו דער וואָרצל מדרגה. דער פּראָבלעם איז קענטיק זינט לינוקס קערן 5.11 און איז געפֿירט דורך אַ ראַסע צושטאַנד אין די ימפּלאַמענטיישאַן פון די CAN ISOTP פּראָטאָקאָל, וואָס מאכט עס מעגלעך צו טוישן די כאָלעל ביינדינג פּאַראַמעטערס רעכט צו דער פעלן פון באַשטעטיקן די געהעריק לאַקס אין די isotp_setsockopt () פֿונקציע. ווען פּראַסעסינג די CAN_ISOTP_SF_BROADCAST פאָן.

נאָך די ISOTP כאָלעל איז פארמאכט, די ביינדינג צו די באַקומער כאָלעל בלייבט אין ווירקונג, וואָס קענען פאָרזעצן צו נוצן די סטראַקטשערז פֿאַרבונדן מיט די כאָלעל נאָך די זיקאָרן פֿאַרבונדן מיט זיי איז באפרייט (נוצן-נאָך-פריי רעכט צו דער רוף צו אַ isotp_sock סטרוקטור וואָס איז שוין באפרייט ווען isotp_rcv () איז גערופן). דורך דאַטן מאַניפּיאַליישאַן, איר קענען אָווועררייד די טייַטל צו די sk_error_report () פֿונקציע און ויספירן דיין קאָד אויף די קערן מדרגה.

מקור: opennet.ru