अलीकडेच बातमीने ती फोडली असुरक्षितता ओळखली गेली (CVE-2021-4122 अंतर्गत आधीच सूचीबद्ध) क्रिप्टसेटअप पॅकेजमध्ये, जे लिनक्समधील डिस्क विभाजने एनक्रिप्ट करण्यासाठी वापरले जाते.
असे नमूद केले आहे असुरक्षिततेचा फायदा घेण्यासाठी, आक्रमणकर्त्याला भौतिक प्रवेश असणे आवश्यक आहे एनक्रिप्टेड माध्यमाकडे, म्हणजे, मुख्यतः एनक्रिप्टेड बाह्य ड्राइव्हवर हल्ला करण्यासाठी ही पद्धत अर्थपूर्ण आहे, जसे की फ्लॅश ड्राइव्ह, ज्यामध्ये आक्रमणकर्त्याला प्रवेश आहे, परंतु डेटा डिक्रिप्ट करण्यासाठी पासवर्ड माहित नाही.
हल्ला हे फक्त LUKS2 फॉरमॅटसाठी लागू आहे आणि मेटाडेटा मॅनिपुलेशनशी संबंधित आहे "ऑनलाइन रीएनक्रिप्शन" एक्स्टेंशन सक्रिय करण्यासाठी जबाबदार आहे, जे आवश्यक असल्यास, प्रवेश की बदलण्यासाठी, विभाजनासह कार्य न थांबवता फ्लायवर डेटा रीक्रिप्शन प्रक्रिया सुरू करण्यास अनुमती देते.
नवीन कीसह डिक्रिप्शन आणि एन्क्रिप्शन प्रक्रियेस बराच वेळ लागत असल्याने, "ऑनलाइन रीएनक्रिप्शन" विभाजनाच्या कामात व्यत्यय आणू शकत नाही आणि पार्श्वभूमीत री-एनक्रिप्शन करू देते, हळूहळू डेटा एका की मधून दुसर्याकडे हस्तांतरित करते. विशेषतः, रिक्त लक्ष्य की निवडणे शक्य आहे, जे आपल्याला विभागास अनएनक्रिप्टेड फॉर्ममध्ये अनुवादित करण्यास अनुमती देते.
आक्रमणकर्ता LUKS2 मेटाडेटामध्ये बदल करू शकतो जे अपयशी झाल्यामुळे डिक्रिप्शन ऑपरेशन रद्द करते आणि नंतरच्या सक्रियतेनंतर आणि मालकाद्वारे सुधारित ड्राइव्हचा वापर केल्यानंतर विभाजनाच्या काही भागाचे डिक्रिप्शन साध्य करते. या प्रकरणात, ज्या वापरकर्त्याने सुधारित ड्राइव्ह कनेक्ट केला आहे आणि तो योग्य पासवर्डने अनलॉक केला आहे त्याला व्यत्यय आणलेल्या री-एनक्रिप्शन ऑपरेशनच्या पुनर्संचयित करण्याबद्दल कोणतीही चेतावणी प्राप्त होत नाही आणि केवळ "luks Dump" कमांडद्वारे या ऑपरेशनची प्रगती शोधू शकते. . आक्रमणकर्ता किती डेटा डिक्रिप्ट करू शकतो हे LUKS2 शीर्षलेखाच्या आकारावर अवलंबून असते, परंतु डीफॉल्ट आकारासह (16 MiB) ते 3 GB पेक्षा जास्त असू शकते.
समस्या री-एनक्रिप्शन ऑपरेशनला गणना आवश्यक असली तरीही या वस्तुस्थितीपासून उद्भवते आणि नवीन आणि जुन्या कीच्या हॅशची पडताळणी, जर नवीन स्थिती एन्क्रिप्शनसाठी (साधा मजकूर) की नसणे सूचित करत असेल तर व्यत्ययित डिक्रिप्शन प्रक्रिया पुनर्संचयित करण्यासाठी हॅशची आवश्यकता नाही.
तसेच, एनक्रिप्शन अल्गोरिदम निर्दिष्ट करणारा LUKS2 मेटाडेटा बदलांपासून संरक्षित नाही जर ते हल्लेखोराच्या हाती पडले. भेद्यता अवरोधित करण्यासाठी, विकासकांनी LUKS2 मध्ये अतिरिक्त मेटाडेटा संरक्षण जोडले, ज्यासाठी आता अतिरिक्त हॅश सत्यापित केले गेले आहे, ज्ञात की आणि मेटाडेटा सामग्रीवर आधारित गणना केली जाते, म्हणजे आक्रमणकर्ता यापुढे डिक्रिप्शन पासवर्ड जाणून घेतल्याशिवाय मेटाडेटा चोरून बदलू शकणार नाही.
सामान्य हल्ल्याच्या परिस्थितीमध्ये आक्रमणकर्त्याला संधी मिळणे आवश्यक असते हात घालण्यासाठी डिस्कवर अनेक वेळा. प्रथम, आक्रमणकर्ता, ज्याला प्रवेश संकेतशब्द माहित नाही, मेटाडेटा क्षेत्रामध्ये बदल करतो जे पुढील वेळी ड्राइव्ह सक्रिय झाल्यावर डेटाच्या काही भागाचे डिक्रिप्शन सुरू करते.
नंतर ड्राइव्ह त्याच्या जागी परत केला जातो आणि आक्रमणकर्ता संकेतशब्द प्रविष्ट करून वापरकर्त्याने कनेक्ट करेपर्यंत प्रतीक्षा करतो. डिव्हाइसच्या वापरकर्त्याच्या सक्रियतेदरम्यान, पार्श्वभूमीमध्ये री-एनक्रिप्शन प्रक्रिया सुरू होते, ज्या दरम्यान एन्क्रिप्टेड डेटाचा भाग डीक्रिप्टेड डेटासह बदलला जातो. तसेच, आक्रमणकर्त्याला पुन्हा डिव्हाइसवर हात मिळविता आला तर, ड्राइव्हवरील काही डेटा डिक्रिप्ट केला जाईल.
क्रिप्टसेटअप प्रकल्पाच्या देखभालकर्त्याद्वारे समस्या ओळखली गेली आणि क्रिप्टसेटअप 2.4.3 आणि 2.3.7 अद्यतनांमध्ये निश्चित केली गेली.
वितरणातील समस्येच्या निराकरणासह अद्यतनांच्या निर्मितीची स्थिती या पृष्ठांवर ट्रॅक केली जाऊ शकते: रहेल, SUSE, Fedora, उबंटू, कमान. क्रिप्टसेटअप 2.2.0 रिलीज झाल्यापासूनच भेद्यता दिसून येते, ज्याने "ऑनलाइन रीक्रिप्ट" ऑपरेशनसाठी समर्थन सादर केले. “–disable-luks2-reencryption” या पर्यायापासून सुरुवात करून सुरक्षा उपाय म्हणून वापरला जाऊ शकतो.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास बातमीबद्दल, आपण मधील तपशील तपासू शकता खालील दुवा.