පද්ධතියට root ප්‍රවේශයට ඉඩ සලසන ෆයර්ජේල් හි අවදානමක් ඔවුන් හඳුනා ගත්හ

ඒ බව ඔවුන් පසුගියදා පුවතක් නිකුත් කළා අවදානමක් හඳුනාගෙන ඇත (දැනටමත් CVE-2022-31214 යටතේ ලැයිස්තුගත කර ඇත) Firejail app sandboxing මෙවලම තුළ, අනාවරණය කරගත් දෝෂය මඟින් දේශීය පරිශීලකයෙකුට සත්කාරක පද්ධතිය මත root වීමට ඉඩ සැලසිය හැකි බව සවිස්තරාත්මක වේ.

Firejail විසින් Linux හි හුදකලා කිරීම සඳහා නාම අවකාශයන් යාන්ත්‍රණය, AppArmor සහ පද්ධති ඇමතුම් පෙරීම (seccomp-bpf) භාවිතා කරයි, නමුත් suid root flag utility වෙත බන්ධනය වීමෙන් හෝ sudo සමඟ ධාවනය කිරීමෙන් එය ලබා ගන්නා හුදකලා නිකුතුවක් වින්‍යාස කිරීමට උසස් වරප්‍රසාද අවශ්‍ය වේ.

“–join=” විකල්පයේ තාර්කික දෝෂයක් හේතුවෙන් අවදානමක් ඇත », දැනටමත් ක්‍රියාත්මක වන හුදකලා පරිසරයකට සම්බන්ධ වීමට සැලසුම් කර ඇත (සෑන්ඩ්බොක්ස් පරිසරයක් සඳහා පිවිසුම් විධානයට සමාන) එහි ක්‍රියාත්මක වන ක්‍රියාවලියේ හැඳුනුම්පත මගින් අර්ථ දක්වා ඇති පරිසරය සමඟ. පූර්ව දියත් කිරීමේ අදියරේදී, ෆයර්ජේල් විසින් නිශ්චිත ක්‍රියාවලියේ වරප්‍රසාද හඳුනාගෙන ඒවා "-join" විකල්පය සමඟ පරිසරයට එක්වන නව ක්‍රියාවලියට අදාළ කරයි.

සම්බන්ධ වීමට පෙර, ෆයර්ජේල් පරිසරය තුළ නිශ්චිත ක්‍රියාවලිය ක්‍රියාත්මක වේද යන්න පරීක්ෂා කරයි. මෙම චෙක්පත /run/firejail/mnt/join ගොනුවේ පැවැත්ම තක්සේරු කරයි. අවදානම ප්‍රයෝජනයට ගැනීමට, ප්‍රහාරකයෙකුට කල්පිත හුදකලා නොවන ගිනි සිරගෙයි පරිසරයක් අනුකරණය කළ හැකිය mount namespace භාවිතා කර පසුව "--join" විකල්පය භාවිතයෙන් එයට සම්බන්ධ වීම.

වින්‍යාසය මඟින් නව ක්‍රියාවලි (prctl NO_NEW_PRIVS) තුළ අමතර වරප්‍රසාද ලබා ගැනීම තහනම් කිරීමේ ක්‍රමය සක්‍රීය නොකරන්නේ නම්, firejail විසින් පරිශීලකයා මනඃකල්පිත පරිසරයකට සම්බන්ධ කර ආරම්භක ක්‍රියාවලියේ (namespace user) පරිශීලක හඳුනාගැනීම් වල පරිශීලක නාම අවකාශයේ වින්‍යාසය යෙදීමට උත්සාහ කරයි ( PID 1).

සම්බන්ධ වීමේ කාර්යය පිටුපස ඇති බොහෝ තර්කයන් ප්‍රභව කේතයේ ඇත `src/firejail/join.c` ගොනුවෙන්. කේතයේ තීරණාත්මක කොටස් ක්‍රියාත්මක කරනු ලැබේ උසස් වරප්රසාද (ඵලදායී UID 0). ක්‍රියාවලියේ හැඳුනුම්පත විධානයක් ලෙස සම්මත විය එය r ද යන්න තීරණය කිරීම සඳහා රේඛා තර්කය පරීක්ෂා කරනු ලැබේබහාලුම් සහ එහි සමහර ගුණාංග තීරණය කරන්න එය නව ඇතුල්වීමේ ක්‍රියාවලියට ද අදාළ වේ.

ඉලක්ක ක්‍රියාවලියට සම්බන්ධ විය යුතුද යන්න තීරණය කිරීමේ ප්‍රධාන නිර්ණායක සාර්ථක වන්නේ ඉලක්කයේ මවුන්ට් නාම අවකාශයේ ගොනුවක් තිබීමයි, /run/firejail/mnt/join හි ක්‍රියාවලිය හමු වේ. මෙම සත්‍යාපනය f මත සිදු කෙරේ`is_ready_for_join()` ශ්‍රිතය. ගොනුව විවෘත වන්නේ l භාවිතා කරමිනි`O_RDONLY|O_CLOEXEC` ධජ සහ ලුහුබැඳීම `fstat()` ප්‍රතිඵලය විය යුතුය පහත අවශ්‍යතා සපුරාලන්න:

- ගොනුව සාමාන්‍ය ගොනුවක් විය යුතුය.
- ගොනුව userid 0 සතු විය යුතුය (ආරම්භක පරිශීලකයාගෙන් පෙනෙන පරිදි
නාම අවකාශය).
- ගොනුව ප්‍රමාණයෙන් බයිට 1ක් විය යුතුය.

ප්රති result ලයක් වශයෙන්, "firejail --join" හරහා සම්බන්ධ වූ ක්‍රියාවලිය නාම අවකාශයෙන් අවසන් වේ පරිශීලකයාගේ මුල් පරිශීලක හැඳුනුම්පත නොවෙනස් වරප්‍රසාද සහිතව, නමුත් වෙනත් මවුන්ට් පොයින්ට් අවකාශයක, ප්‍රහාරකයා විසින් සම්පූර්ණයෙන්ම පාලනය කරනු ලැබේ.

ප්‍රතිඵලයක් ලෙස "එකතු වූ" කවචය දැන් ආරම්භක පරිශීලකයා මත ජීවත් වනු ඇත
namespace, කෙසේ වෙතත්, තවමත් මුල් සාමාන්‍ය පරිශීලක වරප්‍රසාද තබා ගනිමින් mount namespace ප්‍රහාරකයා විසින් පාලනය කරනු ලබන එකක් වනු ඇත. පරිදි
nonewprivs වින්‍යාසය යොදවා නැත, ප්‍රහාරකයාට දැන් හැක
මෙම mount namespace තුළ setuid-root වැඩසටහන් ධාවනය කරන්න

විශේෂයෙන්ම, ප්‍රහාරකයෙකුට තමන් විසින් නිර්මාණය කරන ලද මවුන්ට් පොයින්ට් අවකාශයේ setuid-root වැඩසටහන් ධාවනය කළ හැක, උදාහරණයක් ලෙස, එහි ගොනු ධුරාවලියේ /etc/sudoers වින්‍යාසය හෝ PAM පරාමිති වෙනස් කිරීමට සහ විධාන root ලෙස ක්‍රියාත්මක කිරීමේ හැකියාව ලබා ගැනීමට ඉඩ සලසයි. sudo හෝ එහි උපයෝගිතා භාවිතා කිරීම.

අවසාන වශයෙන්, ෆයර්ජේල් උපයෝගිතා ස්ථාපනය කර ඇති openSUSE, Debian, Arch, Gentoo සහ Fedora හි වත්මන් අනුවාදයන් මත ක්‍රියාකාරී සූරාකෑමක් සංවර්ධනය කර ඇති බව සඳහන් කිරීම වටී.

ෆයර්ජේල් අනුවාදය 0.9.70 හි ගැටළුව විසඳා ඇත. ආරක්ෂක විසඳුමක් ලෙස, ඔබට වින්‍යාසය (/etc/firejail/firejail.config) "no join" සහ "force-nonewprivs yes" ලෙස සැකසිය හැක.

අවසානයේ ඔබ ඒ ගැන වැඩි විස්තර දැන ගැනීමට කැමති නම්, ඔබට විස්තර පරීක්ෂා කළ හැකිය පහත සබැඳිය.


ලිපියේ අන්තර්ගතය අපගේ මූලධර්මවලට අනුකූල වේ කතුවැකි ආචාර ධර්ම. දෝෂයක් වාර්තා කිරීමට ක්ලික් කරන්න මෙන්න.

අදහස් පළ කිරීමට ප්රථම වන්න

ඔබේ අදහස තබන්න

ඔබේ ඊ-මේල් ලිපිනය පළ කරනු නොලැබේ. අවශ්ය ක්ෂේත්ර දක්වා ඇති ලකුණ *

*

*

  1. දත්ත සඳහා වගකිව යුතු: මිගෙල් ඇන්ජල් ගැටන්
  2. දත්තවල අරමුණ: SPAM පාලනය කිරීම, අදහස් කළමනාකරණය.
  3. නීත්‍යානුකූලභාවය: ඔබේ කැමැත්ත
  4. දත්ත සන්නිවේදනය: නෛතික බැඳීමකින් හැර දත්ත තෙවන පාර්ශවයකට සන්නිවේදනය නොකෙරේ.
  5. දත්ත ගබඩා කිරීම: ඔක්සෙන්ටස් නෙට්වර්ක්ස් (EU) විසින් සත්කාරකත්වය දක්වන දත්ත සමුදාය
  6. අයිතිවාසිකම්: ඕනෑම වේලාවක ඔබට ඔබේ තොරතුරු සීමා කිරීමට, නැවත ලබා ගැනීමට සහ මකා දැමීමට හැකිය.