ProHoster > Блог > ayelujara iroyin > Ailagbara ni OverlayFS ngbanilaaye igbega anfani

Ailagbara ni OverlayFS ngbanilaaye igbega anfani

Nínú àyà Linux A ti ṣàwárí àìlera kan (CVE-2023-0386) nínú ìlò fáìlì OverlayFS, èyí tí a lè lò láti gba ìwọ̀lé root lórí àwọn ètò tí a fi FUSE subsystem sí, tí ó sì gba ààyè láti gbé àwọn ìpín OverlayFS sórí àwọn olùlò tí kò ní àǹfààní (bẹ̀rẹ̀ pẹ̀lú kernel) Linux 5.11 pẹ̀lú àfikún àwọn ààyè orúkọ olùlò tí kò ní àǹfààní). A ti yanjú ìṣòro náà ní ẹ̀ka kernel 6.2. A lè tọ́pasẹ̀ ìtẹ̀jáde àwọn àtúnṣe package nínú ìpínkiri lórí àwọn ojú ìwé wọ̀nyí: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Ikọlu naa ni a ṣe nipasẹ didakọ awọn faili pẹlu awọn asia setgid/setuid lati ipin ti a gbe sinu ipo nosuid si ipin OverlayFS kan ti o ni ipele ti o ni nkan ṣe pẹlu ipin ti o fun laaye ipaniyan ti awọn faili suid. Ailagbara naa sunmo si ọran CVE-2021-3847 ti a ṣe idanimọ ni ọdun 2021, ṣugbọn ni awọn ibeere ilokulo kekere - ọrọ atijọ ti o nilo ifọwọyi ti xattrs, eyiti o ni opin nigba lilo awọn aaye orukọ olumulo, ati pe ọrọ tuntun nlo awọn bits setgid/setuid, eyiti o jẹ ko ṣe pataki ni aaye orukọ olumulo.

Algorithm ikọlu:

  • Lilo eto eto FUSE, eto faili ti wa ni gbigbe, ninu eyiti faili ti o le ṣiṣẹ wa ti o jẹ ti olumulo root pẹlu awọn asia setuid/setgid, wiwọle si gbogbo awọn olumulo fun kikọ. Nigbati o ba n gbe soke, FUSE ṣeto ipo si "nosuid".
  • Awọn aaye orukọ olumulo/oke ko pin.
  • OverlayFS ti wa ni gbigbe, ti n ṣalaye FS ti a ṣẹda tẹlẹ ni FUSE bi Layer isalẹ ati ipele oke ti o da lori ilana kikọ. Ilana Layer oke gbọdọ wa ni eto faili ti ko lo asia “nosuid” nigbati o ba gbe soke.
  • Fun faili suid ninu ipin FUSE, ohun elo ifọwọkan yipada akoko iyipada, eyiti o yori si didaakọ rẹ si ipele oke ti OverlayFS.
  • Nigbati o ba n ṣe didaakọ, ekuro ko yọ awọn asia setgid/setuid kuro, eyiti o mu abajade faili ti o han ni ipin ti o fun laaye sisẹ setgid/setuid.
  • Lati gba awọn ẹtọ gbongbo, kan ṣiṣe faili naa pẹlu awọn asia setgid/setuid lati inu itọsọna ti o so mọ Layer oke ti OverlayFS.

Ni afikun, awọn oluwadi lati ọdọ ẹgbẹ Google Project Zero ṣafihan alaye nipa awọn ailera mẹta ti a ti ṣatunṣe ni ẹka akọkọ ti kernel naa. Linux 5.15, ṣùgbọ́n a kò dá wọn padà sí àwọn ìdìpọ̀ kernel láti RHEL 8.x/9.x àti CentOS Ṣíṣàn 9.

  • CVE-2023-1252 – iraye si agbegbe iranti ti o ti ni ominira tẹlẹ ninu eto ovl_aio_req nigba ṣiṣe awọn iṣẹ lọpọlọpọ nigbakanna ni OverlayFS ti a fi ranṣẹ si oke ti eto faili Ext4. O pọju, ailagbara n gba ọ laaye lati mu awọn anfani rẹ pọ si ninu eto naa.
  • CVE-2023-0590 - Wiwọle si iranti ominira tẹlẹ ninu iṣẹ qdisc_graft (). Isẹ ti wa ni ro lati wa ni opin si ajeji ifopinsi.
  • CVE-2023-1249 Wiwọle iranti ti o ni ominira tẹlẹ ninu koodu kikọ coredump waye nitori ipe ti o padanu si mmap_lock ni file_files_note. Isẹ ti wa ni ro lati wa ni opin si ajeji ifopinsi.

orisun: opennet.ru

Ra alejo gbigba igbẹkẹle fun awọn aaye pẹlu aabo DDoS, awọn olupin VPS VDS 🔥 Ra gbigbalejo oju opo wẹẹbu ti o gbẹkẹle pẹlu aabo DDoS, awọn olupin VPS VDS | ProHoster