થોડા દિવસો પહેલા સમાચાર બહાર પાડવામાં આવ્યા હતા વિગતો બહાર આવી છે નબળાઈ તે મળી આવ્યું હતું મિકેનિઝમના અમલીકરણમાં સંસાધન મર્યાદા cgroup v1 Linux કર્નલમાં જે પહેલેથી CVE-2022-0492 હેઠળ સૂચિબદ્ધ છે.
આ નબળાઈ મળી એસeનો ઉપયોગ અલગ કન્ટેનરમાંથી બહાર નીકળવા માટે કરી શકાય છે અને તે વિગતવાર છે કે સમસ્યા Linux કર્નલ 2.6.24 થી હાજર છે.
બ્લોગ પોસ્ટમાં તેનો ઉલ્લેખ છે રીલીઝ_એજન્ટ ફાઇલ હેન્ડલરમાં તાર્કિક ભૂલને કારણે નબળાઈ છે, જેથી ડ્રાઇવરને સંપૂર્ણ પરવાનગી સાથે ચલાવવામાં આવે ત્યારે યોગ્ય તપાસ કરવામાં આવી ન હતી.
ફાઇલ release_agent નો ઉપયોગ કર્નલ એક્ઝેક્યુટ કરે છે તે પ્રોગ્રામને વ્યાખ્યાયિત કરવા માટે થાય છે જ્યારે પ્રક્રિયા સીગ્રુપમાં સમાપ્ત થાય છે. આ પ્રોગ્રામ રૂટ નેમસ્પેસમાં તમામ "ક્ષમતા" સાથે રૂટ તરીકે ચાલે છે. ફક્ત એડમિનિસ્ટ્રેટરને જ રિલીઝ_એજન્ટ રૂપરેખાંકનની ઍક્સેસ હોવી જોઈતી હતી, પરંતુ વાસ્તવમાં, ચેક રુટ વપરાશકર્તાને ઍક્સેસ આપવા માટે મર્યાદિત હતા, જે કન્ટેનરમાંથી અથવા બિન-વહીવટી રુટ વપરાશકર્તા (CAP_SYS_ADMIN ) દ્વારા રૂપરેખાંકન બદલવાની બાકાત રાખતા ન હતા. .
પહેલાં, આ લક્ષણને નબળાઈ તરીકે જોવામાં આવ્યું ન હોત, પરંતુ વપરાશકર્તા ઓળખકર્તા નેમસ્પેસ (યુઝર નેમસ્પેસ) ના આગમન સાથે પરિસ્થિતિ બદલાઈ ગઈ છે, જે તમને કન્ટેનરમાં અલગ રુટ વપરાશકર્તાઓ બનાવવાની મંજૂરી આપે છે જે મુખ્ય પર્યાવરણના રુટ વપરાશકર્તા સાથે ઓવરલેપ થતા નથી.
તદનુસાર હુમલા માટે, તે કન્ટેનરમાં પૂરતું છે જેનો પોતાનો રુટ વપરાશકર્તા છે તમારા રિલીઝ_એજન્ટ હેન્ડલરને પ્લગ કરવા માટે એક અલગ યુઝર આઈડી સ્પેસમાં, જે એકવાર પ્રક્રિયા પૂર્ણ થઈ જાય પછી, પિતૃ વાતાવરણના તમામ વિશેષાધિકારો સાથે ચાલશે.
ડિફૉલ્ટ રૂપે, cgroupfs ફક્ત વાંચવા માટેના કન્ટેનરમાં માઉન્ટ થયેલ છે, પરંતુ આ સ્યુડોફ્સને CAP_SYS_ADMIN અધિકારો સાથે લેખિત મોડમાં અથવા સ્ટોપ શેરિંગ માટે સિસ્ટમ કૉલનો ઉપયોગ કરીને અલગ વપરાશકર્તા નેમસ્પેસ સાથે નેસ્ટેડ કન્ટેનર બનાવવાથી કોઈ સમસ્યા નથી, જેમાં CAP_SYS_ADMIN અધિકારો બનાવેલ કન્ટેનર માટે ઉપલબ્ધ છે.
હુમલો અલગ કન્ટેનરમાં રૂટ વિશેષાધિકારો મેળવીને કરી શકાય છે અથવા no_new_privs ફ્લેગ વિના કન્ટેનર ચલાવીને, જે વધારાના વિશેષાધિકારો મેળવવાને પ્રતિબંધિત કરે છે.
સિસ્ટમ સક્ષમ નેમસ્પેસ માટે આધાર હોવો જોઈએ વપરાશકર્તા (ઉબુન્ટુ અને ફેડોરા પર મૂળભૂત રીતે સક્ષમ, પરંતુ ડેબિયન અને આરએચઈએલ પર સક્ષમ નથી) અને રૂટ v1 સીગ્રુપની ઍક્સેસ ધરાવે છે (ઉદાહરણ તરીકે, ડોકર RDMA રૂટ સીગ્રુપમાં કન્ટેનર ચલાવે છે). હુમલો CAP_SYS_ADMIN વિશેષાધિકારો સાથે પણ શક્ય છે, આ કિસ્સામાં વપરાશકર્તા નેમસ્પેસ માટે સમર્થન અને cgroup v1 ના રૂટ હાયરાર્કીની ઍક્સેસ જરૂરી નથી.
આઇસોલેટેડ કન્ટેનરમાંથી બહાર નીકળવા ઉપરાંત, નબળાઈ રુટ વપરાશકર્તા દ્વારા "ક્ષમતા" વિના અથવા CAP_DAC_OVERRIDE અધિકારો ધરાવતા કોઈપણ વપરાશકર્તા દ્વારા શરૂ કરવામાં આવેલી પ્રક્રિયાઓને પણ મંજૂરી આપે છે (હુમલા માટે માલિકીની /sys/fs/cgroup/*/release_agent ફાઇલની ઍક્સેસ જરૂરી છે. રુટ) સિસ્ટમની તમામ "ક્ષમતાઓ" ની ઍક્સેસ મેળવવા માટે.
કન્ટેનર સિવાય, નબળાઈ ક્ષમતાઓ વિના રુટ હોસ્ટ પ્રક્રિયાઓને અથવા CAP_DAC_OVERRIDE ક્ષમતા સાથે બિન-રુટ હોસ્ટ પ્રક્રિયાઓને સંપૂર્ણ ક્ષમતાઓ સુધી વિશેષાધિકારો વધારવા માટે પણ મંજૂરી આપી શકે છે. આનાથી હુમલાખોરો ચોક્કસ સેવાઓ દ્વારા ઉપયોગમાં લેવાતા સખ્તાઇના માપને બાયપાસ કરવાની મંજૂરી આપી શકે છે, જે જો સમાધાન થાય તો અસરને મર્યાદિત કરવાના પ્રયાસમાં ક્ષમતાઓને દૂર કરે છે.
યુનિટ 42 વપરાશકર્તાઓને નિશ્ચિત કર્નલ સંસ્કરણ પર અપગ્રેડ કરવાની ભલામણ કરે છે. ચાલતા કન્ટેનર માટે, Seccomp ને સક્ષમ કરો અને ખાતરી કરો કે AppArmor અથવા SELinux સક્ષમ છે. Prisma Cloud વપરાશકર્તાઓ પ્રિઝમા ક્લાઉડ દ્વારા પૂરા પાડવામાં આવેલ ઘટાડાઓને જોવા માટે "પ્રિઝમા ક્લાઉડ પ્રોટેક્શન્સ" વિભાગનો સંદર્ભ લઈ શકે છે.
નોંધ કરો કે વધારાના કન્ટેનર આઇસોલેશન માટે Seccomp, AppArmor અથવા SELinux પ્રોટેક્શન મિકેનિઝમનો ઉપયોગ કરતી વખતે નબળાઈનો ઉપયોગ કરી શકાતો નથી, કારણ કે Seccomp unshare() સિસ્ટમ કૉલને અવરોધે છે અને AppArmor અને SELinux cgroupf ને રાઈટ મોડમાં માઉન્ટ કરવાની મંજૂરી આપતા નથી.
છેલ્લે, તે ઉલ્લેખનીય છે કે તે કર્નલ વર્ઝન 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 અને 4.9.301 માં ફિક્સ કરવામાં આવ્યું હતું. તમે આ પૃષ્ઠો પરના વિતરણોમાં પેકેજ અપડેટના પ્રકાશનને અનુસરી શકો છો: ડેબિયન, SUSE, ઉબુન્ટુ, આરએચએલ, Fedora, જેન્ટૂ, આર્ક લિનક્સ.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે માં વિગતો ચકાસી શકો છો નીચેની કડી