Jilicsanaanta halista ah waxaa lagu aqoonsaday Firejail, Connman iyo GNU Guix

DarkcriztLa cusboonaysiiyay

Faahfaahin la'aan

Dhowr maalmood ka hor ayay iyagu is muujiyeen warka ogaanshaha nuglaanta qaarkood khatar ma u aragtaa gudaha Firejail, Connman iyo GNU Guix. Waa sidaas marka laga hadlayo u nuglaanta lagu aqoonsaday nidaamka lagu socodsiinayo codsiyada sandboxed Dab -damiska  (CVE-2021-26910) kan waxay u oggolaaneysaa inay sare u qaaddo mudnaanta isticmaalaha asalka u ah.

Dab -damiska isticmaal baagagga magacyada, AppArmor iyo shaandhada wicitaanka (seccomp-bpf) ee go'doominta Linux, laakiin waxay ubaahantahay mudnaan sare si loo kaydiyo kabo go'doon ah, oo lagu heli karo adoo ku xiraya korantada calanka asalka ah ee suid ama ku orda sudo.

Jilicsanaanta waxaa sababa cillad ku jirta koodhka si loo taageero nidaamka faylka ee OverlayFS, kaas oo loo isticmaalo in lagu abuuro lakab dheeri ah dusha sare ee faylka faylka si loo badbaadiyo isbeddelada ay sameeyeen geeddi-socodka go'doonku. Nidaam go'doon ah ayaa loo maleynayaa inuu helayo akhrinta nidaamka faylka aasaasiga ah, dhammaan hawlgallada qorista waxaa loo weeciyaa kaydinta ku meelgaarka ah mana saameyn doonaan nidaamka faylka aasaasiga ah ee dhabta ah.

Asal ahaan, Qaybaha 'OverlayFS' waxay kuxiran yihiin galka guriga isticmaalahatusaale ahaan gudaha "/home/test/.firejail/ [[name]" ", halka milkiilaha hageyaashaan lagu wado inuu xidido si uusan isticmaaleha hadda jiraa si toos ah wax uga beddelin waxyaabaha ay ka kooban yihiin.

Markaad dejineyso jawi sanduuq, Firejail wuxuu hubinayaa in xididka isweydaarsiga ku-meel-gaadhka ah ee loo yaqaan 'OverlayFS' uusan wax ka beddeli karin isticmaale aan la oggoleyn. Jilicsanaanta waxaa sababa xaalad jinsi sababo la xiriira xaqiiqda ah in howlgalada lagu fulinin si atomik ah waxaana jira waqti gaaban oo udhaxeeya jeegga iyo buurta, taas oo noo ogolaaneysa inaan ku badalno galka .firejail galka diiwaanka meesha isticmaaleha hada uu leeyahay qoritaanka marin ( tan iyo .firejail waxaa lagu abuuray galka isticmaalaha, isticmaaluhu wuu magacaabi karaa).

Inaad haysato qoritaanka marinka .firejail wuxuu kuu ogolaanayaa inaad tirtirto buundooyinka Iskuxidhka tooska ah ee loo yaqaan 'overlayFS' oo isku xidha astaamo astaan ​​iyo beddela fayl kasta oo nidaamka ah. Cilmi-baaraha ayaa diyaariyay nooc shaqo oo ka faa'iideysiga, kaas oo la daabici doono hal usbuuc kadib marka la sii daayo hagaajinta. Dhibaatadu waxay u muuqataa tan iyo version 0.9.30. Nooca 0.9.64.4, nuglaanta waxaa lagu xannibay iyadoo curyaamisay taageerada OverlayFS.

Si aad u joojiso u nuglaanta qaab kale, waxaad sidoo kale joojin kartaa OverlayFS adoo ku daraya cabirka "overlayfs" oo leh "maya" qiimaha / noc/firejail/firejail.config.

Jilicsanaanta labaad Khatarta la aqoonsaday (CVE-2021-26675) waxay ku jirtay qaabeeyaha shabakadda ConnMan, kaas oo ku baahay nidaamyada Linux gundhigga iyo qalabka IoT. Jilicsanaanta ayaa suurtagal ka dhigeysa in meel fog laga toogto nambarka qofka wax weerara.

Dhibaatada waxaa u sabab ah keyd buux dhaaf ah oo ku jira koodhka dnsproxy Waana looga faa'iideysan karaa iyada oo lagu soo celiyo jawaabaha sida gaarka ah loo farsameeyay ee ka yimid serverka DNS kaas oo wakiilka DNS loo qaabeeyey inuu wareejiyo taraafikada Tesla, oo adeegsada ConnMan, ayaa ka warbixiyay dhibaatada. Jilicsanaanta ayaa lagu hagaajiyay sii deyntii shalay ee ConnMan 1.39.

Finalmente, dayacanka kale ee amniga in uu sii daayay, waxay ku jirtay qaybinta GNU Guix waxayna laxiriiraa u gaar ahaanshaha gelinta faylalka suid-root faylka / runta / setuid-program.

Inta badan barnaamijyada kujira buugan waxaa lagu geeyay calamada setuid-root iyo setgid-root, laakiin looma qorsheynin inay lashaqeeyaan setgid-root, taas oo suuragal ay tahay in loo adeegsado in sare loogu qaado mudnaanta nidaamka.

Si kastaba ha noqotee, badankood barnaamijyadan waxaa loogu talagalay inay u shaqeeyaan sidii loo yaqaan 'setuid-root', laakiin maaha sida setgid-root. Sidaa darteed, qaabeyntan ayaa khatar gelisay sare u qaadista mudnaanta maxalliga ah (Isticmaalayaasha Guix ee "qaybinta shisheeyaha" saameyn kuma yeelan).

Cayayaankaan waa la hagaajiyay oo dadka isticmaala waxaa lagula talinayaa inay cusboonaysiiyaan nidaamkooda….

Ka faa'iideysiga dhibaatadan lama yaqaan ilaa maanta

Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato Ku saabsan qoraalada dayacanka la soo sheegay, waxaad ka eegi kartaa faahfaahinta arrintan ku saabsan xiriiriyeyaasha soo socda.

Dab -damiska, Connman y Hagaha GNU


Noqo kuwa ugu horreeya ee faallo bixiya

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.