Pred nekaj dnevi so se javili novice o odkrivanje nekaterih ranljivosti se vam zdi nevarno v Firejail, Connman in GNU Guix. In v primeru ranljivost, ugotovljena v sistemu za zagon aplikacij v okolju Gasilski zapor (CVE-2021-26910) to omogoča dvig privilegijev korenskemu uporabniku.
Gasilski zapor uporabite imenske prostore, AppArmor in filtriranje sistemskih klicev (seccomp-bpf) za izolacijo v Linuxu, vendar zahteva povišane privilegije za konfiguracijo izoliranega zagona, ki ga lahko dobite z vezavo na pripomoček s suid root zastavico ali z zagonom s sudo.
Ranljivost povzroča napaka v kodi, ki podpira datotečni sistem OverlayFS, ki se uporablja za ustvarjanje dodatne plasti na vrhu glavnega datotečnega sistema za shranjevanje sprememb, ki jih naredi izoliran postopek. Izoliran postopek naj bi pridobil dostop za branje do primarnega datotečnega sistema, vse operacije pisanja pa so preusmerjene v začasno shrambo in ne vplivajo na dejanski primarni datotečni sistem.
Privzeto, Particije OverlayFS so nameščene v uporabnikovem domačem imenikuna primer znotraj "/home/test/.firejail/ [[ime]", medtem ko je lastnik teh imenikov nastavljen na root, tako da trenutni uporabnik ne more neposredno spremeniti njihove vsebine.
Pri nastavljanju okolja peskovnika Firejail preveri, ali neprivilegiran uporabnik ne more spremeniti korena začasne particije OverlayFS. Ranljivost povzroča dirkaško stanje, ker se operacije ne izvajajo atomsko in je med preverjanjem in namestitvijo kratek trenutek, kar nam omogoča, da korenski imenik .firejail zamenjamo z imenikom, v katerem ima trenutni uporabnik dostop do pisanja ( ker je bil .firejail ustvarjen v uporabniškem imeniku, ga lahko uporabnik preimenuje).
Če imate dostop do pisanja v imenik .firejail, lahko preglasite točke vpetja OverlayFS s simbolično povezavo in spremenite katero koli datoteko v sistemu. Raziskovalec je pripravil delujoči prototip eksploatacije, ki bo objavljen en teden po objavi popravka. Težava se pojavlja od različice 0.9.30. V različici 0.9.64.4 je bila ranljivost blokirana z onemogočanjem podpore OverlayFS.
Če želite na drug način blokirati ranljivost, lahko onemogočite tudi OverlayFS, tako da v /etc/firejail/firejail.config dodate parameter "overlayfs" z vrednostjo "ne".
Druga ranljivost Ugotovljeno nevarno (CVE-2021-26675) je bilo v omrežnem konfiguratorju ConnMan, ki se je razširil v vgrajenih sistemih Linux in napravah IoT. Ranljivost potencialno omogoča oddaljeno izvajanje kode napadalca.
Problem to je posledica prelivanja medpomnilnika v kodi dnsproxy in ga je mogoče izkoristiti z vrnitvijo posebej oblikovanih odzivov s strežnika DNS, na katerega je DNS proxy konfiguriran za preusmerjanje prometa. Tesla, ki uporablja ConnMan, je poročal o težavi. Ranljivost je bila odpravljena v včerajšnji izdaji ConnMan 1.39.
Končno, druge varnostne ranljivosti da je izpustil, je bilo v distribuciji GNU Guix in je povezano s posebnostjo nameščanja suid-root datotek v imenik / run / setuid-programs.
Večina programov v tem imeniku je bila dobavljena z zastavicama setuid-root in setgid-root, vendar niso bili zasnovani za delo s setgid-root, ki bi jih lahko uporabili za dvig privilegijev v sistemu.
Vendar je večina teh programov zasnovana tako, da deluje kot setuid-root, ne pa tudi kot setgid-root. Zato je ta konfiguracija predstavljala tveganje za stopnjevanje lokalnih privilegijev (uporabniki Guixa v "tuji distribuciji" ne vplivajo).
Ta napaka je bila odpravljena in uporabnike pozivamo, da posodobijo svoj sistem….
Do danes ni znano izkoriščanje te težave
Končno če vas zanima več o tem O opombah o prijavljenih ranljivostih lahko podrobnosti v zvezi s tem preverite na naslednjih povezavah.
Gasilski zapor, Connman y Vodnik GNU