Hace pocos días se dio a conocer la noticia de que fue detectada una vulnerabilidad en el subsistema de red del kernel de Linux que permite, sobrescribir el contenido de la memoria del kernel, mediante la manipulación de sockets de red en el espacio del usuario.

Se menciona que la vulnerabilidad (ya catalogada bajo CVE-2023-42752) es clasificada como crítica y podría usarse para permitir a un usuario sin privilegios el acceso para ejecutar su código a nivel del kernel.

Como tal, el fallo detectado es causado por un cambio introducido la versión del kernel de Linux 6.2, pero se menciona que este cambio también fue introducido en todas las ramas LTS con soporte, por lo que la vulnerabilidad también aparece en versiones anteriores de ramas estables compatibles del kernel.

Por la parte de las causas del problema, se menciona se debe aún desbordamiento de enteros en la función «alloc_skb» del kernel de Linux, la cuaes utilizada para proporcionar la asignación de memoria para la estructura sk_buff (búfer de socket), que se utiliza para almacenar paquetes de red.

La vulnerabilidad puede ser explotada debido a que se produce un problema que genera un desbordamiento debido a la falta de validación adecuada de los parámetros recibidos del usuario utilizados para calcular el tamaño del búfer. Un ataque por parte de un usuario sin privilegios requiere acceso para crear espacios de nombres de usuario, que se pueden proporcionar, por ejemplo, en contenedores aislados.

Se menciona que: la función`kmalloc_reserve` redondea el tamaño en `PAGE_SIZE << get_order(size);` en `kmalloc_size_roundup`. Dado que «size» está «unsigned int`, la lógica de redondeo lo hará 0 si el valor original es más grande, por ejemplo algo como 0xffffded0. Como resultado, «data» en realidad se convertirá en `ZERO_SIZE_PTR`, que es 0x10 en lugar de 0. Desde la verificación no considera el caso, por lo que el kernel continuará con su proceso de «data» como si fueran un puntero del kernel válido.

Cabe mencionar que la vulnerabilidad CVE-2023-42752 es local y no se puede explotar de forma remota a través de la red, ya que como mencionamos arriba, un atacante requiere acceso para crear espacios de nombres de usuario.

En 2010, no me di cuenta de que los usuarios malintencionados podían configurar dev->mtu en valores arbitrarios. Desde entonces, este mtu se ha limitado a 0x7fffffff, pero independientemente de cuán grande sea dev->mtu, no tiene sentido que igmpv3_newpack() asigne más de IP_MAX_MTU y corra el riesgo de que se desborden varios campos skb