काही दिवसांपूर्वी बातमी प्रसिद्ध झाली तपशील उघड झाला आहे एक असुरक्षितता ते सापडले यंत्रणा अंमलबजावणी मध्ये संसाधन मर्यादा cgroup v1 लिनक्स कर्नलमध्ये जे आधीच CVE-2022-0492 अंतर्गत कॅटलॉग केलेले आहे.
ही अगतिकता एसe वेगळ्या कंटेनरमधून बाहेर पडण्यासाठी वापरला जाऊ शकतो आणि लिनक्स कर्नल 2.6.24 पासून समस्या उपस्थित असल्याचे तपशीलवार आहे.
ब्लॉग पोस्टमध्ये असे नमूद केले आहे रिलीझ_एजंट फाइल हँडलरमधील तार्किक त्रुटीमुळे असुरक्षा आहे, त्यामुळे चालक पूर्ण परवानग्या घेऊन चालवताना योग्य तपासण्या केल्या गेल्या नाहीत.
फाइल रिलीज_एजंट कर्नल कार्यान्वित करणारा प्रोग्राम परिभाषित करण्यासाठी वापरला जातो जेव्हा प्रक्रिया cgroup मध्ये समाप्त होते. हा प्रोग्राम रूट नेमस्पेसमध्ये सर्व "क्षमतेसह" रूट म्हणून चालतो. फक्त प्रशासकाला रिलीज_एजंट कॉन्फिगरेशनमध्ये प्रवेश असायला हवा होता, परंतु प्रत्यक्षात, चेक रूट वापरकर्त्याला प्रवेश देण्यापुरते मर्यादित होते, ज्याने कंटेनरमधून किंवा गैर-प्रशासकीय रूट वापरकर्त्याद्वारे कॉन्फिगरेशन बदलण्यास प्रतिबंध केला नाही (CAP_SYS_ADMIN ) .
पूर्वी, हे वैशिष्ट्य एक असुरक्षा म्हणून समजले गेले नसते, परंतु वापरकर्ता आयडेंटिफायर नेमस्पेसेस (वापरकर्ता नेमस्पेसेस) च्या आगमनाने परिस्थिती बदलली आहे, जे तुम्हाला कंटेनरमध्ये वेगळे रूट वापरकर्ते तयार करण्यास अनुमती देतात जे मुख्य वातावरणाच्या मूळ वापरकर्त्यासह ओव्हरलॅप होत नाहीत.
त्यानुसार आक्रमणासाठी, कंटेनरमध्ये ते पुरेसे आहे ज्याचा स्वतःचा रूट वापरकर्ता आहे तुमचा रिलीज_एजंट हँडलर प्लग इन करण्यासाठी वेगळ्या वापरकर्ता आयडी जागेत, जो प्रक्रिया पूर्ण झाल्यावर, पालक वातावरणाच्या सर्व विशेषाधिकारांसह चालेल.
डीफॉल्टनुसार, cgroupfs हे केवळ-वाचनीय कंटेनरमध्ये माउंट केले जाते, परंतु CAP_SYS_ADMIN अधिकारांसह लेखन मोडमध्ये किंवा स्टॉप शेअरिंगसाठी सिस्टम कॉलचा वापर करून वेगळ्या वापरकर्ता नेमस्पेससह नेस्टेड कंटेनर तयार करून हे छद्म पुन्हा माउंट करण्यात कोणतीही समस्या नाही, ज्यामध्ये CAP_SYS_ADMIN अधिकार तयार केलेल्या कंटेनरवर उपलब्ध आहेत.
हल्ला एका वेगळ्या कंटेनरमध्ये रूट विशेषाधिकार ठेवून केले जाऊ शकते किंवा no_new_privs फ्लॅगशिवाय कंटेनर चालवून, जे अतिरिक्त विशेषाधिकार प्राप्त करण्यास प्रतिबंधित करते.
सिस्टममध्ये नेमस्पेसेससाठी सपोर्ट असणे आवश्यक आहे वापरकर्ता (उबंटू आणि फेडोरा वर डीफॉल्टनुसार सक्षम केलेले, परंतु डेबियन आणि RHEL वर सक्षम केलेले नाही) आणि रूट v1 cgroup मध्ये प्रवेश आहे (उदाहरणार्थ, डॉकर RDMA रूट cgroup मध्ये कंटेनर चालवतो). CAP_SYS_ADMIN विशेषाधिकारांसह देखील हल्ला शक्य आहे, अशा परिस्थितीत वापरकर्ता नेमस्पेससाठी समर्थन आणि cgroup v1 च्या रूट पदानुक्रमात प्रवेश आवश्यक नाही.
वेगळ्या कंटेनरमधून बाहेर पडण्याव्यतिरिक्त, भेद्यता रूट वापरकर्त्याद्वारे "क्षमतेशिवाय" किंवा CAP_DAC_OVERRIDE अधिकारांसह कोणत्याही वापरकर्त्याद्वारे सुरू केलेल्या प्रक्रियांना देखील अनुमती देते (हल्ल्यासाठी मालकीच्या /sys/fs/cgroup/*/release_agent फाइलमध्ये प्रवेश आवश्यक आहे. रूट) सिस्टमच्या सर्व "क्षमता" मध्ये प्रवेश मिळविण्यासाठी.
कंटेनर्स व्यतिरिक्त, असुरक्षा क्षमतांशिवाय रूट होस्ट प्रक्रियांना किंवा CAP_DAC_OVERRIDE क्षमतेसह रूट होस्ट प्रक्रियांना पूर्ण क्षमतेपर्यंत विशेषाधिकार वाढवण्यास अनुमती देऊ शकते. हे आक्रमणकर्त्यांना विशिष्ट सेवांद्वारे वापरल्या जाणार्या कठोर उपायांना बायपास करण्यास अनुमती देऊ शकते, जे तडजोड झाल्यास प्रभाव मर्यादित करण्याच्या प्रयत्नात क्षमता काढून टाकतात.
युनिट 42 वापरकर्त्यांना निश्चित कर्नल आवृत्तीमध्ये अपग्रेड करण्याची शिफारस करते. चालू असलेल्या कंटेनरसाठी, Seccomp सक्षम करा आणि AppArmor किंवा SELinux सक्षम असल्याची खात्री करा. प्रिझ्मा क्लाउड वापरकर्ते प्रिझ्मा क्लाउडद्वारे प्रदान केलेल्या शमन पाहण्यासाठी "प्रिझ्मा क्लाउड संरक्षण" विभागाचा संदर्भ घेऊ शकतात.
लक्षात घ्या की अतिरिक्त कंटेनर अलगावसाठी Seccomp, AppArmor किंवा SELinux संरक्षण यंत्रणा वापरताना असुरक्षिततेचा उपयोग केला जाऊ शकत नाही, कारण Seccomp unshare() सिस्टम कॉल ब्लॉक करते आणि AppArmor आणि SELinux cgroupfs ला लेखन मोडमध्ये माउंट करण्याची परवानगी देत नाही.
शेवटी, हे नमूद करण्यासारखे आहे की ते कर्नल आवृत्त्या ५.१६.१२, ५.१५.२६, ५.१०.९७, ५.४.१७७, ४.१९.२२९, ४.१४.२६६ आणि ४.९.३०१ मध्ये निश्चित केले आहे. तुम्ही या पृष्ठांवर वितरणामध्ये पॅकेज अद्यतनांच्या प्रकाशनाचे अनुसरण करू शकता: डेबियन, SUSE, उबंटू, रहेल, Fedora, गेन्टू, आर्क लिनक्स.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण मधील तपशील तपासू शकता खालील दुवा.