Pangembang proyek Grsecurity ngluncurake informasi babagan masalah keamanan sing ditemokake ing tambalan sing diusulake kanggo nambah keamanan kernel Linux dening karyawan Huawei, anane kerentanan sing dimanfaatake sepele ing tambalan patch HKSP (Proteksi Diri Huawei Kernel).
Tambalan "HKSP" iki diterbitake dening karyawan Huawei 5 dina kepungkur lan kalebu nyebutake Huawei ing profil GitHub lan nggunakake tembung Huawei ing dekoding jeneng proyek (HKSP - Proteksi Diri Huawei Kernel), sanajan emplado kasebut nyebutake manawa proyek kasebut ora ana gandhengane karo perusahaan lan duweke dhewe.
Proyek iki wis nindakake riset ing wektu luang, jeneng hksp diwenehake dhewe, ora ana gandhengane karo perusahaan Huawei, ora ana produk Huawei sing nggunakake kode iki.
Kode tambalan iki digawe dening aku, amarga siji wong ora duwe cukup energi kanggo nutupi kabeh. Mula, ana kekurangan jaminan kualitas kayata kajian lan tes.
Babagan HKSP
HKSP kalebu pangowahan kayata acak saka struktur perdagangan, pangayoman serangan namespace pangguna ID (namespace pid), pamisahan tumpukan proses area mmap, fungsi kfree deteksi panggilan dobel, blokir bocor liwat pseudo-FS / proc (/ proc / {modul, tombol, pangguna utama}, / proc / sys / kernel / * lan / proc / sys / vm / mmap_min_addr, / proc / kallsyms), nambah acak alamat ing papan pangguna, pangayoman tambahan saka Ptrace, pangayoman kanggo smap lan smep, kemampuan nglarang ngirim data liwat soket mentah, ngalangi alamat Ora valid ing soket UDP lan mriksa lan integritas proses sing mlaku.
Rangka kerja kasebut uga kalebu modul kernel Ksguard, sing dimaksud kanggo ngenali upaya ngenalake rootkit khas.
Tambalan kasebut nyebabake minat sampeyan ing Greg Kroah-Hartman, tanggung jawab kanggo njaga cabang kernel Linux sing stabil, sing bakal njaluk penulis mbagi patch monolitik dadi bagean kanggo nyederhanakake kajian lan promosi menyang komposisi pusat.
Kees Cook (Kees Cook), kepala proyek kanggo promosi teknologi proteksi aktif ing kernel Linux, uga ngomong kanthi positif babagan tambalan, lan masalah kasebut narik kawigaten arsitektur x86 lan sifat pemberitahuan babagan akeh mode sing mung nyathet informasi babagan masalah, nanging ora nyoba kanggo mblokir
Sinau tambalan dening pangembang Grsecurity mbukak akeh bug lan kekurangan kode kasebut Iki uga nuduhake ora ana model ancaman sing ngidini evaluasi kapasitas proyek sing cukup.
Kanggo nggambarake manawa kode kasebut ditulis tanpa nggunakake metode program sing aman, Tuladha kerentanan sepele diwenehake ing pangurus file / proc / ksguard / state, sing digawe kanthi ijin 0777, sing artine kabeh wong duwe akses nulis.
Fungsi ksg_state_write sing digunakake kanggo ngrampungake perintah sing ditulis ing / proc / ksguard / state nggawe buffer tmp [32], ing endi data kasebut ditulis adhedhasar ukuran operan sing diliwati, tanpa dipikirake ukuran buffer tujuan lan tanpa mriksa paramèter kanthi ukuran senar. Kanthi tembung liyane, kanggo nimpa bagean tumpukan kernel, panyerang mung kudu nulis garis sing digawe khusus ing / proc / ksguard / negara.
Sawise nampa wangsulan, pangembang komentar babagan kaca GitHub saka proyek "HKSP" kanthi retroaktif sawise nemokake kerentanan, dheweke uga nambah cathetan manawa proyek kasebut maju ing kalodhangan kanggo riset.
Matur nuwun kanggo tim keamanan sing nemokake bug ing patch iki.
Ksg_guard minangka conto conto kanggo ndeteksi rootkit ing level kernel, komunikasi pangguna lan kernel ngluncurake antarmuka proc, tujuane yaiku mriksa ide kanthi cepet dadi ora nambah cek keamanan.Sejatine verifikasi rootkit ing level kernel sampeyan isih kudu ngrembug karo komunitas, yen kudu ngrancang alat ARK (anti rootkit) kanggo sistem Linux ...
Dadi pisanan komentar