Encontraron una vulnerabilidad en cgroups v1 que permite salir de un contenedor aislado

ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ ಸುದ್ದಿ ಬಿಡುಗಡೆಯಾಯಿತು ವಿವರಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ ಒಂದು ದುರ್ಬಲತೆ ಎಂದು ಕಂಡುಬಂತು ಯಾಂತ್ರಿಕತೆಯ ಅನುಷ್ಠಾನದಲ್ಲಿ ಸಂಪನ್ಮೂಲ ಮಿತಿ cgroup v1 ಲಿನಕ್ಸ್ ಕರ್ನಲ್‌ನಲ್ಲಿ ಈಗಾಗಲೇ CVE-2022-0492 ಅಡಿಯಲ್ಲಿ ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ.

ಈ ದುರ್ಬಲತೆಯನ್ನು ಕಂಡು ರುe ಅನ್ನು ಪ್ರತ್ಯೇಕವಾದ ಪಾತ್ರೆಗಳಿಂದ ನಿರ್ಗಮಿಸಲು ಬಳಸಬಹುದು ಮತ್ತು ಲಿನಕ್ಸ್ ಕರ್ನಲ್ 2.6.24 ರಿಂದ ಸಮಸ್ಯೆ ಇದೆ ಎಂದು ವಿವರಿಸಲಾಗಿದೆ.

ಬ್ಲಾಗ್ ಪೋಸ್ಟ್‌ನಲ್ಲಿ ಅದನ್ನು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ರಿಲೀಸ್_ಏಜೆಂಟ್ ಫೈಲ್ ಹ್ಯಾಂಡ್ಲರ್‌ನಲ್ಲಿನ ತಾರ್ಕಿಕ ದೋಷದಿಂದಾಗಿ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ, ಆದ್ದರಿಂದ ಚಾಲಕನು ಪೂರ್ಣ ಅನುಮತಿಯೊಂದಿಗೆ ಓಡಿದಾಗ ಸರಿಯಾದ ತಪಾಸಣೆ ನಡೆಸಲಾಗಿಲ್ಲ.

ಫೈಲ್ ಕರ್ನಲ್ ಕಾರ್ಯಗತಗೊಳಿಸುವ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲು release_agent ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ ಒಂದು ಪ್ರಕ್ರಿಯೆಯು cgroup ನಲ್ಲಿ ಕೊನೆಗೊಂಡಾಗ. ಈ ಪ್ರೋಗ್ರಾಂ ರೂಟ್ ನೇಮ್‌ಸ್ಪೇಸ್‌ನಲ್ಲಿ ಎಲ್ಲಾ "ಸಾಮರ್ಥ್ಯ" ದೊಂದಿಗೆ ರೂಟ್ ಆಗಿ ಚಲಿಸುತ್ತದೆ. ನಿರ್ವಾಹಕರು ಮಾತ್ರ ಬಿಡುಗಡೆ_ಏಜೆಂಟ್ ಕಾನ್ಫಿಗರೇಶನ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರಬೇಕು, ಆದರೆ ವಾಸ್ತವದಲ್ಲಿ, ಚೆಕ್‌ಗಳು ರೂಟ್ ಬಳಕೆದಾರರಿಗೆ ಪ್ರವೇಶವನ್ನು ನೀಡಲು ಸೀಮಿತವಾಗಿವೆ, ಇದು ಕಂಟೇನರ್‌ನಿಂದ ಅಥವಾ ಆಡಳಿತೇತರ ರೂಟ್ ಬಳಕೆದಾರರಿಂದ (CAP_SYS_ADMIN ) ಸಂರಚನೆಯನ್ನು ಬದಲಾಯಿಸುವುದನ್ನು ತಡೆಯಲಿಲ್ಲ. .

ಇದಕ್ಕೂ ಮುಂಚೆ, ಈ ವೈಶಿಷ್ಟ್ಯವನ್ನು ದುರ್ಬಲತೆ ಎಂದು ಗ್ರಹಿಸಲಾಗುತ್ತಿರಲಿಲ್ಲ, ಆದರೆ ಬಳಕೆದಾರರ ಗುರುತಿಸುವಿಕೆಯ ನೇಮ್‌ಸ್ಪೇಸ್‌ಗಳ (ಬಳಕೆದಾರ ನೇಮ್‌ಸ್ಪೇಸ್) ಆಗಮನದೊಂದಿಗೆ ಪರಿಸ್ಥಿತಿಯು ಬದಲಾಗಿದೆ, ಇದು ಮುಖ್ಯ ಪರಿಸರದ ಮೂಲ ಬಳಕೆದಾರರೊಂದಿಗೆ ಅತಿಕ್ರಮಿಸದ ಕಂಟೈನರ್‌ಗಳಲ್ಲಿ ಪ್ರತ್ಯೇಕ ಮೂಲ ಬಳಕೆದಾರರನ್ನು ರಚಿಸಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.

ಅದರಂತೆ ದಾಳಿಗೆ, ತನ್ನದೇ ಆದ ಮೂಲ ಬಳಕೆದಾರರನ್ನು ಹೊಂದಿರುವ ಕಂಟೇನರ್‌ನಲ್ಲಿ ಸಾಕು ನಿಮ್ಮ release_agent ಹ್ಯಾಂಡ್ಲರ್ ಅನ್ನು ಪ್ಲಗ್ ಮಾಡಲು ಪ್ರತ್ಯೇಕ ಬಳಕೆದಾರ ಐಡಿ ಜಾಗದಲ್ಲಿ, ಪ್ರಕ್ರಿಯೆಯು ಪೂರ್ಣಗೊಂಡ ನಂತರ, ಪೋಷಕ ಪರಿಸರದ ಎಲ್ಲಾ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ರನ್ ಆಗುತ್ತದೆ.

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, cgroupfs ಅನ್ನು ಓದಲು-ಮಾತ್ರ ಕಂಟೇನರ್‌ನಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ, ಆದರೆ CAP_SYS_ADMIN ಹಕ್ಕುಗಳೊಂದಿಗೆ ಬರೆಯುವ ಮೋಡ್‌ನಲ್ಲಿ ಅಥವಾ ಸ್ಟಾಪ್ ಹಂಚಿಕೆಗಾಗಿ ಸಿಸ್ಟಮ್ ಕರೆಯನ್ನು ಬಳಸಿಕೊಂಡು ನೆಸ್ಟೆಡ್ ಕಂಟೇನರ್ ಅನ್ನು ಪ್ರತ್ಯೇಕ ಬಳಕೆದಾರ ನೇಮ್‌ಸ್ಪೇಸ್‌ನೊಂದಿಗೆ ರಚಿಸುವ ಮೂಲಕ ಈ ಸೂಡಾಫ್‌ಗಳನ್ನು ಮರುಸ್ಥಾಪಿಸುವಲ್ಲಿ ಯಾವುದೇ ಸಮಸ್ಯೆ ಇಲ್ಲ, ಇದರಲ್ಲಿ CAP_SYS_ADMIN ಹಕ್ಕುಗಳು ರಚಿಸಿದ ಕಂಟೇನರ್‌ಗೆ ಲಭ್ಯವಿದೆ.

ದಾಳಿ ಪ್ರತ್ಯೇಕವಾದ ಧಾರಕದಲ್ಲಿ ಮೂಲ ಸವಲತ್ತುಗಳನ್ನು ಹೊಂದುವ ಮೂಲಕ ಮಾಡಬಹುದು ಅಥವಾ no_new_privs ಫ್ಲ್ಯಾಗ್ ಇಲ್ಲದೆ ಕಂಟೇನರ್ ಅನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ, ಇದು ಹೆಚ್ಚುವರಿ ಸವಲತ್ತುಗಳನ್ನು ಪಡೆಯುವುದನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ.

ವ್ಯವಸ್ಥೆಯು ನೇಮ್‌ಸ್ಪೇಸ್‌ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ ಬೆಂಬಲವನ್ನು ಹೊಂದಿರಬೇಕು ಬಳಕೆದಾರ (ಉಬುಂಟು ಮತ್ತು ಫೆಡೋರಾದಲ್ಲಿ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ, ಆದರೆ ಡೆಬಿಯನ್ ಮತ್ತು RHEL ನಲ್ಲಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿಲ್ಲ) ಮತ್ತು ರೂಟ್ v1 cgroup ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, RDMA ರೂಟ್ cgroup ನಲ್ಲಿ ಡಾಕರ್ ಕಂಟೇನರ್‌ಗಳನ್ನು ರನ್ ಮಾಡುತ್ತದೆ). ದಾಳಿಯು CAP_SYS_ADMIN ಸವಲತ್ತುಗಳೊಂದಿಗೆ ಸಹ ಸಾಧ್ಯವಿದೆ, ಈ ಸಂದರ್ಭದಲ್ಲಿ ಬಳಕೆದಾರರ ನೇಮ್‌ಸ್ಪೇಸ್‌ಗಳಿಗೆ ಬೆಂಬಲ ಮತ್ತು cgroup v1 ನ ಮೂಲ ಶ್ರೇಣಿಗೆ ಪ್ರವೇಶ ಅಗತ್ಯವಿಲ್ಲ.

ಪ್ರತ್ಯೇಕವಾದ ಧಾರಕದಿಂದ ಹೊರಬರುವುದರ ಜೊತೆಗೆ, ದುರ್ಬಲತೆಯು "ಸಾಮರ್ಥ್ಯ" ಇಲ್ಲದೆ ರೂಟ್ ಬಳಕೆದಾರರಿಂದ ಪ್ರಾರಂಭಿಸಲಾದ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಅಥವಾ CAP_DAC_OVERRIDE ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿರುವ ಯಾವುದೇ ಬಳಕೆದಾರರಿಂದ ಪ್ರಾರಂಭಿಸಲು ಸಹ ಅನುಮತಿಸುತ್ತದೆ (ದಾಳಿಯು ಮಾಲೀಕತ್ವದ /sys/fs/cgroup/*/release_agent ಫೈಲ್‌ಗೆ ಪ್ರವೇಶದ ಅಗತ್ಯವಿದೆ ರೂಟ್) ಸಿಸ್ಟಮ್ನ ಎಲ್ಲಾ "ಸಾಮರ್ಥ್ಯಗಳಿಗೆ" ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು.

ಕಂಟೇನರ್‌ಗಳ ಹೊರತಾಗಿ, ದುರ್ಬಲತೆಯು ಸಾಮರ್ಥ್ಯಗಳಿಲ್ಲದ ರೂಟ್ ಹೋಸ್ಟ್ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಅಥವಾ CAP_DAC_OVERRIDE ಸಾಮರ್ಥ್ಯದೊಂದಿಗೆ ರೂಟ್-ಅಲ್ಲದ ಹೋಸ್ಟ್ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಪೂರ್ಣ ಸಾಮರ್ಥ್ಯಗಳಿಗೆ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಇದು ಆಕ್ರಮಣಕಾರರಿಗೆ ಕೆಲವು ಸೇವೆಗಳು ಬಳಸುವ ಗಟ್ಟಿಯಾಗಿಸುವ ಅಳತೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅನುಮತಿಸಬಹುದು, ಇದು ರಾಜಿ ಸಂಭವಿಸಿದಲ್ಲಿ ಪರಿಣಾಮವನ್ನು ಮಿತಿಗೊಳಿಸುವ ಪ್ರಯತ್ನದಲ್ಲಿ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ತೆಗೆದುಹಾಕುತ್ತದೆ.

ಯುನಿಟ್ 42 ಬಳಕೆದಾರರು ಸ್ಥಿರ ಕರ್ನಲ್ ಆವೃತ್ತಿಗೆ ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡಲು ಶಿಫಾರಸು ಮಾಡುತ್ತದೆ. ಚಾಲನೆಯಲ್ಲಿರುವ ಕಂಟೈನರ್‌ಗಳಿಗಾಗಿ, Seccomp ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ ಮತ್ತು AppArmor ಅಥವಾ SELinux ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆಯೇ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ. ಪ್ರಿಸ್ಮಾ ಕ್ಲೌಡ್ ಬಳಕೆದಾರರು ಪ್ರಿಸ್ಮಾ ಕ್ಲೌಡ್ ಒದಗಿಸಿದ ತಗ್ಗಿಸುವಿಕೆಗಳನ್ನು ನೋಡಲು "ಪ್ರಿಸ್ಮಾ ಕ್ಲೌಡ್ ಪ್ರೊಟೆಕ್ಷನ್ಸ್" ವಿಭಾಗವನ್ನು ಉಲ್ಲೇಖಿಸಬಹುದು.

ಹೆಚ್ಚುವರಿ ಕಂಟೈನರ್ ಪ್ರತ್ಯೇಕತೆಗಾಗಿ Seccomp, AppArmor ಅಥವಾ SELinux ಸಂರಕ್ಷಣಾ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬಳಸುವಾಗ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲಾಗುವುದಿಲ್ಲ ಎಂಬುದನ್ನು ಗಮನಿಸಿ, ಏಕೆಂದರೆ Seccomp unshare() ಸಿಸ್ಟಮ್ ಕರೆಯನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ ಮತ್ತು AppArmor ಮತ್ತು SELinux cgroupf ಗಳನ್ನು ಬರೆಯುವ ಕ್ರಮದಲ್ಲಿ ಅಳವಡಿಸಲು ಅನುಮತಿಸುವುದಿಲ್ಲ.

ಅಂತಿಮವಾಗಿ, ಇದನ್ನು ಕರ್ನಲ್ ಆವೃತ್ತಿಗಳು 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 ಮತ್ತು 4.9.301 ನಲ್ಲಿ ಸರಿಪಡಿಸಲಾಗಿದೆ ಎಂದು ನಮೂದಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ. ಈ ಪುಟಗಳಲ್ಲಿನ ವಿತರಣೆಗಳಲ್ಲಿ ಪ್ಯಾಕೇಜ್ ನವೀಕರಣಗಳ ಬಿಡುಗಡೆಯನ್ನು ನೀವು ಅನುಸರಿಸಬಹುದು: ಡೆಬಿಯನ್, ಸ್ಯೂಸ್, ಉಬುಂಟು, rhel, ಫೆಡೋರಾ, ಜೆಂಟೂ, ಆರ್ಚ್ ಲಿನಕ್ಸ್.

ಅಂತಿಮವಾಗಿ ನೀವು ಅದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ, ನೀವು ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್.

ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

ಕಾಮೆಂಟ್ *

ಹೆಸರು*

ಎಲೆಕ್ಟ್ರಾನಿಕ್ ಮೇಲ್*

ನಾನು ಸ್ವೀಕರಿಸುತ್ತೇನೆ ಗೌಪ್ಯತೆ ನಿಯಮಗಳು*

ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: ಮಿಗುಯೆಲ್ ಏಂಜೆಲ್ ಗಟಾನ್
ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.

ನಾನು ಸುದ್ದಿಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸಲು ಬಯಸುತ್ತೇನೆ

DesdeLinux

ಅವರು cgroups v1 ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಕೊಂಡರು ಅದು ಪ್ರತ್ಯೇಕವಾದ ಕಂಟೇನರ್‌ನಿಂದ ಹೊರಬರಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ

ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ ಉತ್ತರವನ್ನು ರದ್ದುಮಾಡಿ

ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ