কয়েক দিন আগে খবর প্রকাশিত হয় বিস্তারিত প্রকাশ করা হয়েছে একটি দুর্বলতা যে পাওয়া গেছে মেকানিজম বাস্তবায়নে সম্পদ সীমাবদ্ধতা cgroup v1 লিনাক্স কার্নেলে যা ইতিমধ্যেই CVE-2022-0492 এর অধীনে তালিকাভুক্ত করা হয়েছে।
এই দুর্বলতা পাওয়া যায়e বিচ্ছিন্ন পাত্রে প্রস্থান করতে ব্যবহার করা যেতে পারে এবং এটি বিস্তারিত যে সমস্যাটি Linux kernel 2.6.24 থেকে উপস্থিত রয়েছে।
ব্লগ পোস্টে তা উল্লেখ করা হয়েছে রিলিজ_এজেন্ট ফাইল হ্যান্ডলারে একটি যৌক্তিক ত্রুটির কারণে দুর্বলতা, তাই সঠিক চেক করা হয়নি যখন ড্রাইভার সম্পূর্ণ অনুমতি নিয়ে চালানো হয়েছিল।
ফাইলটি রিলিজ_এজেন্ট কার্নেল যে প্রোগ্রামটি কার্যকর করে তা নির্ধারণ করতে ব্যবহৃত হয় যখন একটি প্রক্রিয়া একটি cgroup এ শেষ হয়। এই প্রোগ্রামটি রুট নামস্থানে সমস্ত "ক্ষমতা" সহ রুট হিসাবে চলে। রিলিজ_এজেন্ট কনফিগারেশনে শুধুমাত্র অ্যাডমিনিস্ট্রেটরের অ্যাক্সেস থাকার কথা ছিল, কিন্তু বাস্তবে, চেকগুলি রুট ব্যবহারকারীকে অ্যাক্সেস দেওয়ার জন্য সীমাবদ্ধ ছিল, যা কনটেইনার থেকে বা নন-প্রশাসনিক রুট ব্যবহারকারী (CAP_SYS_ADMIN) দ্বারা কনফিগারেশন পরিবর্তন করতে বাধা দেয়নি। .
পূর্বে, এই বৈশিষ্ট্য একটি দুর্বলতা হিসাবে অনুভূত হবে না, কিন্তু ব্যবহারকারী শনাক্তকারী নেমস্পেস (ইউজার নেমস্পেস) এর আবির্ভাবের সাথে পরিস্থিতি পরিবর্তিত হয়েছে, যা আপনাকে মূল পরিবেশের রুট ব্যবহারকারীর সাথে ওভারল্যাপ করে না এমন পাত্রে আলাদা রুট ব্যবহারকারী তৈরি করতে দেয়।
সেই অনুযায়ী, আক্রমণের জন্য, এটি একটি পাত্রে যথেষ্ট যার নিজস্ব রুট ব্যবহারকারী রয়েছে আপনার রিলিজ_এজেন্ট হ্যান্ডলারে প্লাগ ইন করার জন্য একটি পৃথক ইউজার আইডি স্পেসে, যা একবার প্রক্রিয়াটি সম্পূর্ণ হলে, অভিভাবক পরিবেশের সমস্ত সুযোগ-সুবিধা সহ চলবে।
ডিফল্টরূপে, cgroupfs শুধুমাত্র-পঠনযোগ্য কন্টেইনারে মাউন্ট করা হয়, কিন্তু CAP_SYS_ADMIN অধিকার সহ লিখিত মোডে এই ছদ্ম-অফগুলি পুনরায় মাউন্ট করতে বা শেয়ারিং বন্ধ করার জন্য সিস্টেম কল ব্যবহার করে একটি পৃথক ব্যবহারকারীর নামস্থান সহ একটি নেস্টেড কন্টেইনার তৈরি করে কোনো সমস্যা নেই, যেখানে CAP_SYS_ADMIN অধিকার তৈরি পাত্রে উপলব্ধ.
আক্রমণ একটি বিচ্ছিন্ন পাত্রে রুট সুবিধা থাকার দ্বারা করা যেতে পারে অথবা no_new_privs পতাকা ছাড়াই কন্টেইনার চালানোর মাধ্যমে, যা অতিরিক্ত সুযোগ-সুবিধা অর্জন নিষিদ্ধ করে।
সিস্টেমে সক্রিয় নামস্থানের জন্য সমর্থন থাকতে হবে ব্যবহারকারী (উবুন্টু এবং ফেডোরাতে ডিফল্টরূপে সক্রিয়, কিন্তু ডেবিয়ান এবং আরএইচইএল-এ সক্ষম নয়) এবং রুট v1 cgroup-এ অ্যাক্সেস রয়েছে (উদাহরণস্বরূপ, ডকার RDMA রুট cgroup-এ কন্টেইনার চালায়)। আক্রমণটি CAP_SYS_ADMIN সুবিধার সাথেও সম্ভব, এই ক্ষেত্রে ব্যবহারকারীর নামস্থানের জন্য সমর্থন এবং cgroup v1 এর রুট অনুক্রমে অ্যাক্সেসের প্রয়োজন নেই।
বিচ্ছিন্ন কন্টেইনার থেকে বেরিয়ে আসার পাশাপাশি, দুর্বলতা রুট ব্যবহারকারীর দ্বারা "সামর্থ্য" ছাড়া বা CAP_DAC_OVERRIDE অধিকার সহ কোনও ব্যবহারকারীর দ্বারা শুরু করা প্রক্রিয়াগুলিকেও অনুমতি দেয় (আক্রমণের জন্য /sys/fs/cgroup/*/release_agent ফাইলের মালিকানাধীন অ্যাক্সেস প্রয়োজন root) সিস্টেমের সমস্ত "ক্ষমতা" অ্যাক্সেস পেতে।
কন্টেইনারগুলি ছাড়াও, দুর্বলতাগুলি ক্ষমতা ছাড়াই রুট হোস্ট প্রক্রিয়াগুলিকে, বা CAP_DAC_OVERRIDE ক্ষমতা সহ নন-রুট হোস্ট প্রক্রিয়াগুলিকে সম্পূর্ণ ক্ষমতাগুলিতে বিশেষাধিকারগুলিকে বৃদ্ধি করার অনুমতি দিতে পারে৷ এটি আক্রমণকারীদের নির্দিষ্ট পরিষেবাগুলির দ্বারা ব্যবহৃত কঠোর পরিমাপকে বাইপাস করার অনুমতি দিতে পারে, যা একটি আপস ঘটলে প্রভাবকে সীমিত করার প্রয়াসে ক্ষমতাগুলি সরিয়ে দেয়।
ইউনিট 42 ব্যবহারকারীদের একটি নির্দিষ্ট কার্নেল সংস্করণে আপগ্রেড করার পরামর্শ দেয়। চলমান কন্টেইনারগুলির জন্য, Seccomp সক্ষম করুন এবং নিশ্চিত করুন যে AppArmor বা SELinux সক্ষম আছে৷ প্রিজমা ক্লাউড ব্যবহারকারীরা প্রিজমা ক্লাউড দ্বারা প্রদত্ত প্রশমনগুলি দেখতে "প্রিজমা ক্লাউড সুরক্ষা" বিভাগে উল্লেখ করতে পারেন।
মনে রাখবেন যে অতিরিক্ত কন্টেইনার আইসোলেশনের জন্য Seccomp, AppArmor বা SELinux সুরক্ষা পদ্ধতি ব্যবহার করার সময় দুর্বলতা কাজে লাগানো যাবে না, কারণ Seccomp unshare() সিস্টেম কল ব্লক করে এবং AppArmor এবং SELinux cgroupf-কে রাইট মোডে মাউন্ট করার অনুমতি দেয় না।
অবশেষে, এটি উল্লেখ করার মতো যে এটি কার্নেল সংস্করণ 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 এবং 4.9.301 এ স্থির করা হয়েছে। আপনি এই পৃষ্ঠাগুলিতে বিতরণে প্যাকেজ আপডেটের প্রকাশ অনুসরণ করতে পারেন: ডেবিয়ান, SUSE, উবুন্টু, RHEL, ফেডোরা, জেন্টু, আর্কিটেকচার লিনাক্স.
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি বিশদে পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্ক.