Netfilter, eto ipilẹ ti ekuro Linux ti a lo lati ṣe àlẹmọ ati yipada awọn apo-iwe nẹtiwọọki, ni ailagbara kan (CVE-2022-25636) ti o fun laaye ipaniyan koodu ni ipele ekuro. O ti kede pe apẹẹrẹ ti ilokulo ti pese ti o fun laaye olumulo agbegbe lati gbe awọn anfani wọn ga ni Ubuntu 21.10 pẹlu ẹrọ aabo KASLR alaabo. Iṣoro naa han ti o bẹrẹ lati ekuro 5.4. Atunṣe tun wa bi alemo kan (awọn idasilẹ ekuro atunṣe ko ti ipilẹṣẹ). O le tẹle awọn atẹjade ti awọn imudojuiwọn package ni awọn pinpin lori awọn oju-iwe wọnyi: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Ailagbara naa jẹ idi nipasẹ aṣiṣe ni iṣiro iwọn sisan->ofin->action.awọn titẹ sii inu iṣẹ nft_fwd_dup_netdev_offload (ti a ṣalaye ninu faili net/netfilter/nf_dup_netdev.c), eyiti o le ja si data iṣakoso-akolu ti jije. ti a kọ si agbegbe iranti ni ikọja aala ti ifipamọ ti a sọtọ. Aṣiṣe naa han nigbati atunto awọn ofin “dup” ati “fwd” ni awọn ẹwọn fun eyiti isare ohun elo ti sisẹ soso (offload) ti lo. Niwọn igba ti iṣan omi ti nwaye ṣaaju ṣiṣẹda ofin àlẹmọ soso kan ati ṣayẹwo fun atilẹyin piparẹ, ailagbara naa tun kan awọn ẹrọ nẹtiwọọki ti ko ṣe atilẹyin isare ohun elo, gẹgẹ bi wiwo loopback.
O ṣe akiyesi pe iṣoro naa jẹ ohun ti o rọrun lati lo nilokulo, nitori awọn iye ti o kọja ifipamọ le ṣe atunkọ atọka si eto net_device, ati data nipa iye atunkọ ti pada si aaye olumulo, eyiti o fun ọ laaye lati wa awọn adirẹsi naa. ni iranti pataki lati gbe jade ni kolu. Lilo ailagbara nilo ẹda awọn ofin kan ninu awọn nftables, eyiti o ṣee ṣe nikan pẹlu awọn anfani CAP_NET_ADMIN, eyiti o le gba nipasẹ olumulo ti ko ni anfani ni awọn aaye orukọ nẹtiwọọki lọtọ. Ailagbara naa tun le ṣee lo lati kọlu awọn eto ipinya eiyan.
orisun: opennet.ru