在核心 Linux 已發現一個類似於 Copy Fail、Dirty Frag 和 Fragnesia 的漏洞,該漏洞允許非特權用戶透過覆蓋頁面快取中的資料來獲取 root 權限。此漏洞代號為 DirtyDecrypt(也稱為 DirtyCBC)。目前已提供原型漏洞利用程式。
該漏洞利用程序的描述中並未提及 CVE 編號,僅指出研究人員於 5 月 9 日發現了該問題,並已將其報告給核心開發人員。內核開發人員回覆稱,他們的發現與另一份關於已修復漏洞的報告重複。由於核心中已包含修復補丁,研究人員決定公開他們開發的漏洞利用程式。根據漏洞利用程序的描述,它利用的是 CVE-2026-31635 漏洞,該漏洞的修復程序已於 4 月被核心接受,並包含在 7.0.0 分支和 4 月 18 日發布的 6.18.23 版本中。該問題自核心 6.16 版本起就已存在。
與 Dirty Frag 系列漏洞類似,RxRPC 驅動程式中也存在一個新的漏洞。此驅動程式實作了 AF_RXRPC 套接字族和同名的 RPC 協議,運行在 UDP 協定之上。此問題是由 rxgk_verify_response() 函數中的資料大小檢查錯誤所引起的。程式碼中本應檢查“if (auth_len > len)”,但實際檢查的是“if (auth_len < len)”,導致傳遞給 rxgk_decrypt_skb() 函數的資料大於允許的大小。當執行 rxgk_decrypt_skb() 函數時,為了避免不必要的緩衝,資料解密過程會直接將變更插入到頁面快取中。由於大小檢查錯誤,攻擊者有可能覆蓋頁面快取中指定偏移量的資料。
利用此漏洞需要使用 suid root 標誌讀取程式檔案(以確保其被放置在頁面快取中),並將頁面快取中的部分程式碼替換為啟動 /usr/bin/sh 的程式碼。隨後執行該程式時,載入到記憶體中的將是頁面快取中修改後的副本,而不是磁碟機中的原始可執行檔。此漏洞利用支援使用 "/usr/bin/su", "/bin/su", "/usr/bin/mount", "/usr/bin/passwd" 和 "/usr/bin/chsh" 指令。
若要利用此漏洞,在建置核心時必須啟用 CONFIG_RXGK 選項,且 rxrpc.ko 核心模組必須可供自動載入(該模組在某些系統上無法建置)。您可以在以下頁面查看發行版中漏洞修復的狀態: Debian, UbuntuSUSE/openSUSE、RHEL、Arch、Fedora。作為一種變通方法,您可以阻止載入 rxrpc 核心模組:
sh -c "printf 'install rxrpc /bin/false\n' > /etc/modprobe.d/dirtydecrypt.conf; rmmod rxrpc 2>/dev/null; true"
此外,您還可以在核心開發者郵件清單中找到相關資訊。 Linux 此補丁完全禁用了加密 API (AF_ALG) 中在使用“skcipher”和“aead”演算法解密時直接存取頁面快取的最佳化。這些優化消除了不必要的資料緩衝,但引入了嚴重的安全漏洞風險。停用這些最佳化預計只會造成輕微的效能損失,因為需要額外執行一次複製到獨立緩衝區的操作。這些補丁已被加密 API 子系統的維護者接受,並包含在「cryptodev」分支中,該分支用於開發未來核心版本將包含的功能。 Linux.
來源: opennet.ru
