Firejail, Connman, GNU Guix-д илэрсэн аюултай эмзэг байдал

Хэдэн өдрийн өмнө тэд өөрсдийгөө олонд таниулсан -ийн мэдээ зарим эмзэг байдлыг илрүүлэх Та аюултай гэж үзэж байна уу? Firejail, Connman, GNU Guix-д. Энэ бол тохиолдолд хамгаалагдсан хязгаарлагдсан програмуудыг ажиллуулах системд тодорхойлсон эмзэг байдал Firejail  (CVE-2021-26910) энэ язгуур хэрэглэгчид давуу эрх олгох боломжийг олгодог.

Firejail нэрний талбар ашиглах, Линукс дээр тусгаарлах зорилгоор AppArmor, болон системийн дуудлагын шүүлтүүр (seccomp-bpf), гэхдээ тусгаарлагдсан ачаалалтыг тохируулахын тулд өндөр давуу эрх шаарддагҮүнийг suid root туг ашиглан хэрэгсэлд холбож эсвэл sudo програмыг ажиллуулах замаар олж авч болно.

Энэ эмзэг байдал нь OverlayFS файлын системийг дэмжих кодын алдаа, тусгаарлагдсан процессын хийсэн өөрчлөлтийг хадгалахын тулд үндсэн файлын системийн дээр нэмэлт давхарга үүсгэхэд ашигладаг. Тусгаарлагдсан процесс нь анхдагч файлын системд унших хандалтыг олж авах бөгөөд бүх бичих үйлдлийг түр хадгалахад чиглүүлдэг бөгөөд бодит файлын системд нөлөөлөхгүй гэж үздэг.

Анхны утгаараа, OverlayFS хуваалтуудыг хэрэглэгчийн гэрийн лавлах санд суулгасан болноЖишээлбэл, "/home/test/.firejail/" дотор [[нэр] ”байгаа бол эдгээр санг эзэмшигч нь root гэж тохируулсан байгаа тул одоогийн хэрэглэгч агуулгаа шууд өөрчлөх боломжгүй болно.

Элсэрхэг орчинг тохируулахдаа Firejail нь OverlayFS түр хуваалтын үндэсийг эрхгүй хэрэглэгч өөрчлөх боломжгүй эсэхийг шалгадаг.. Энэ эмзэг байдал нь үйл ажиллагаа нь атомын түвшинд хийгддэггүй тул шалгах ба холбох хооронд богино мөч байдаг тул уралдааны нөхцлөөс үүдэлтэй бөгөөд root .firejail директорыг одоогийн хэрэглэгчийн бичих хандалттай байгаа каталогоор солих боломжийг бидэнд олгоно. .firejail нь хэрэглэгчийн лавлах хуудсанд үүсгэгдсэн тул хэрэглэгч нэрийг нь өөрчилж болно).

.Firejail директор руу бичих хандалттай байх нь холболтын цэгүүдийг хүчингүй болгох боломжийг танд олгоно OverlayFS нь бэлгэдлийн холбоосоор холбогдсон бөгөөд систем дээрх ямар ч файлыг өөрчилнө. Судлаач мөлжлөгийн ажлын анхны загварыг бэлтгэсэн бөгөөд засварыг гаргаснаас хойш нэг долоо хоногийн дараа хэвлэгдэх болно. Асуудал нь 0.9.30 хувилбараас хойш гарч ирэв. 0.9.64.4 хувилбар дээр OverlayFS дэмжлэгийг идэвхгүй болгосноор эмзэг байдлыг хаасан.

Бусад аргаар эмзэг байдлыг хаахын тулд та "overlayfs" параметрийг "no" гэсэн утгатай /etc/firejail/firejail.config-д нэмж OverlayFS-ийг идэвхгүйжүүлж болно.

Хоёр дахь эмзэг байдал Тодорхойлогдсон аюултай (CVE-2021-26675) нь сүлжээний тохируулагч дээр байсан Коннман, суулгагдсан Линукс систем болон IoT төхөөрөмжүүдэд өргөн тархсан болсон. Эмзэг байдал нь халдагчийн кодыг алсаас гүйцэтгэх боломжийг олгодог.

Асуудал Энэ нь dnsproxy кодын буфер хальсантай холбоотой юм мөн траффикийг дахин чиглүүлэхээр DNS прокси тохируулсан DNS серверээс тусгайлан боловсруулсан хариуг буцааж өгөх замаар давуу талыг ашиглаж болно. ConnMan ашигладаг Тесла энэ асуудлыг мэдээлсэн. Өчигдөр гарсан ConnMan 1.39-ийн сул тал дээр эмзэг байдлыг арилгасан.

Эцэст нь, аюулгүй байдлын бусад эмзэг байдал тэр гаргасан, энэ нь түгээх байсан GNU Guix нь suid-root файлуудыг / run / setuid-program директорт байрлуулах онцлогтой холбоотой юм.

Энэ лавлах програмын ихэнх хэсгийг setuid-root ба setgid-root тугуудын хамт илгээсэн боловч тэдгээр нь setgid-root-тэй ажиллахаар хийгдээгүй бөгөөд үүнийг систем дээрх давуу эрхийг дээшлүүлэхэд ашиглаж болзошгүй юм.

Гэхдээ эдгээр програмуудын ихэнх нь setuid-root хэлбэрээр ажиллуулахаар хийгдсэн байдаг боловч setgid-root хэлбэрээр биш юм. Тиймээс энэхүү тохиргоо нь орон нутгийн эрх ямба өсөх эрсдэлийг үүсгэсэн ("гадаад тархац" дахь Guix хэрэглэгчид нөлөөлөхгүй).

Энэ алдааг арилгасан тул хэрэглэгчдэд системээ шинэчлэхийг уриалж байна.…

Өнөөдрийг хүртэл энэ асуудлын мөлжлөг байхгүй байна

Эцэст нь Хэрэв та энэ талаар илүү ихийг мэдэхийг хүсч байвал Мэдэгдэж буй эмзэг байдлын талаархи тэмдэглэлүүдийн талаар та энэ талаархи мэдээллийг дараахь холбоосуудаас шалгаж болно.

Firejail, Коннман y GNU Guix


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.