В эти дни, прошедшие с начала месяца, было обнаружено несколько уязвимостей, влияющих на ядро Linux и что некоторые из них позволяют обходить блокирующие ограничения.
Среди различных уязвимостей, которые были обнаружены, некоторые из них вызваны обращением к уже освобожденным областям памяти и разрешить локальному пользователю повышать свои привилегии в системе. Для всех рассматриваемых проблем созданы рабочие прототипы эксплойтов, которые будут выпущены через неделю после публикации информации об уязвимостях.
Одной из уязвимостей, которая привлекает внимание, является (CVE-2022-21505), которые могут легко обойти механизм безопасности Lockdown, что ограничивает корневой доступ к ядру и блокирует пути обхода UEFI Secure Boot. Для обхода предлагается использовать подсистему ядра IMA (Integrity Measurement Architecture), предназначенную для проверки целостности компонентов операционной системы с помощью цифровых подписей и хэшей.
Блокировка ограничивает доступ к /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, режиму отладки kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (структура информации о карте), некоторым ACPI и CPU MSR. интерфейсы, блокирует вызовы kexec_file и kexec_load, предотвращает переход в спящий режим, ограничивает использование DMA для устройств PCI, запрещает импорт кода ACPI из переменных EFI, предотвращает несанкционированное вмешательство в порт ввода-вывода, включая изменение номера прерывания и порта ввода-вывода для последовательного порта .
Суть уязвимости заключается в когда использовать параметр загрузки «ima_appraise=log», разрешить вызов kexec для загрузки новой копии ядра если режим безопасной загрузки не активен в системе, а режим блокировки используется отдельно и не позволяет включать режим «ima_appraise», когда активна безопасная загрузка, но не позволяет использовать блокировку отдельно от безопасной загрузки.
Из другие обнаруженные уязвимости в течение этих дней и которые выделяются среди других, являются следующие:
- CVE-2022-2588: Уязвимость в реализации фильтра cls_route, вызванная ошибкой, при которой при обработке нулевого дескриптора старый фильтр не удалялся из хеш-таблицы до очистки памяти. Уязвимость была присутствует по крайней мере с версии 2.6.12-rc2 (2.6.12-rc2 — это первый выпуск в Git. Большая часть кода, который git помечает как добавленный в этом выпуске, на самом деле является «доисторическим», то есть добавленным во времена BitKeeper или ранее.) Для атаки требуются права CAP_NET_ADMIN, которые можно получить, если у вас есть доступ для создания сетевых пространств имен (network namespace) или пространств имен идентификаторов пользователей (user namespace). В качестве исправления безопасности вы можете отключить модуль cls_route, добавив строку «install cls_route /bin/true» в modprobe.conf.
- CVE-2022-2586: уязвимость в подсистеме netfilter в модуле nf_tables, предоставляющем фильтр пакетов nftables. Проблема связана с тем, что объект nft может ссылаться на набор списков другой таблицы, что приводит к доступу к освобожденной области памяти после удаления таблицы. уязвимость он существует с версии 3.16-rc1. Для атаки требуются права CAP_NET_ADMIN, которые можно получить, если у вас есть доступ для создания сетевых пространств имен (network namespace) или пространств имен идентификаторов пользователей (user namespace).
- CVE-2022-2585: — это уязвимость в таймере ЦП POSIX, из-за которой при вызове из потока, не являющегося лидером, структура таймера остается в списке, несмотря на очистку выделенной памяти. Уязвимость присутствует с версии 3.16-rc1.
Стоит отметить, что для описанных уязвимостей уже отправлены исправления ошибок разработчикам ядра Linux, некоторые исправления которых уже поступили в виде патчей.