在内核的 iSCSI 子系统代码中 Linux 已发现一个漏洞 (CVE-2021-27365),该漏洞允许非特权本地用户执行内核级代码并获得系统 root 权限。目前已提供一个可用于测试的漏洞利用原型。该漏洞已在内核更新中修复。 Linux 5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260 和 4.4.260。内核软件包更新可在发行版中找到。 Debian, Ubuntu,SUSE/openSUSE,Arch Linux 以及 Fedora。目前尚未发布针对 RHEL 的补丁。
该问题是由 libiscsi 模块的 iscsi_host_get_param() 函数中的一个漏洞引起的,该漏洞最早于 2006 年 iSCSI 子系统开发期间引入。由于缺乏适当的大小检查,某些 iSCSI 字符串属性(例如主机名或用户名)的大小可能会超过 PAGE_SIZE 值(4 KB)。非特权用户可以通过发送 Netlink 消息来利用此漏洞,这些消息会将 iSCSI 属性设置为超过 PAGE_SIZE 的值。当通过 sysfs 或 seqfs 读取这些属性时,会调用一段代码,该代码会将这些属性传递给 sprintf 函数,以便将其复制到大小等于 PAGE_SIZE 的缓冲区中。
利用发行版中的此漏洞取决于发行版是否支持在尝试创建 NETLINK_ISCSI 套接字时自动加载 scsi_transport_iscsi 内核模块。在自动加载此模块的发行版中,无论 iSCSI 功能是否正常,攻击均可执行。但是,成功利用此漏洞需要注册至少一个 iSCSI 传输协议。ib_iser 内核模块会在非特权用户尝试创建 NETLINK_RDMA 套接字时自动加载,可用于注册该传输协议。
支持自动加载漏洞利用所需的模块。 CentOS 在 Windows 8、RHEL 8 和 Fedora 系统中安装 rdma-core 软件包时,rdma-core 软件包会被安装。rdma-core 是多个常用软件包的依赖项,并且在工作站、基于 GUI 的服务器和虚拟化主机配置中默认安装。但是,在使用仅控制台服务器版本或安装最小安装镜像时,rdma-core 软件包不会被安装。例如,该软件包包含在 Fedora 31 工作站基础发行版中,但不包含在 Fedora 31 服务器版中。 Debian и Ubuntu 由于 rdma-core 软件包仅在 RDMA 硬件存在时才会加载攻击所需的内核模块,因此它们不太容易受到该问题的影响。
作为一种变通方法,您可以禁用 libiscsi 模块的自动加载:echo "install libiscsi /bin/true" >> /etc/modprobe.d/disable-libiscsi.conf
此外,iSCSI 子系统中还修复了两个不太严重的内核数据泄露漏洞:CVE-2021-27363(通过 sysfs 泄露 iSCSI 传输描述符)和 CVE-2021-27364(越界读取)。这些漏洞可被利用,在无需必要权限的情况下通过 NetLink 套接字与 iSCSI 子系统通信。例如,非特权用户可以连接到 iSCSI 并发出“结束会话”命令来终止会话。
来源: opennet.ru
