Waxay ka heleen nuglaanta kooxaha v1 taasoo u ogolaanaysa inay ka soo baxaan weel go'doonsan

Darkcrizt

Daqiiqado 4

Maalmo ka hor warkii waa la sii daayay faah faahin ayaa la shaaciyay nuglaansho taas la helay hirgelinta habka xaddididda kheyraadka kooxaha v1 Kernel-ka Linux kaas oo horey loogu sii diyaariyay CVE-2022-0492.

Nuglaanta ayaa la helay se waxaa loo isticmaali karaa in laga baxo weelasha cidlada ah waxaana si faahfaahsan loo sheegay in dhibaatadu ay jirtay tan iyo Linux kernel 2.6.24.

In boostada blog waxaa lagu sheegay in Nuglaanta waxaa sabab u ah khalad macquul ah oo ku jira maamulaha faylka release_agent, markaa hubinta saxda ah lama samayn markii darawalka lagu maamulay ogolaansho buuxda.

Faylka release_agent waxa loo isticmaalaa in lagu qeexo barnaamijka uu kernel-ku fuliyo marka hawshu ku dhamaato koox koox. Barnaamijkani wuxuu u shaqeeyaa sidii xidid leh dhammaan "awoodda" ee goobta magaca xididka. Kaliya maamulaha ayaa loo maleynayay inuu marin u heli karo qaabeynta release_agent, laakiin dhab ahaantii, jeegaggu waxay ku koobnaayeen siinta marin u siinta isticmaalaha xididka, taas oo aan ka hor istaagin in la beddelo qaabeynta weelka ama isticmaale xididka aan maamulka ahayn (CAP_SYS_ADMIN) .

Markii hore, sifadan looma aragteen baylahnimo, laakiin xaaladdu way is beddeshay markii ay soo baxday aqoonsiga isticmaalaha (user namespaces), taas oo kuu ogolaanaysa inaad abuurto isticmaalayaasha xididka ah ee weelasha aan la isku dhejin xididka isticmaalaha deegaanka ugu muhiimsan.

Marka loo eego Weerarka, waa ku filan yahay weel leh xidid isticmaalihiisa meel bannaan oo aqoonsi isticmaale si aad ugu xidho maamulahaaga release_agent, kaas oo, marka hawshu dhammaato, ay la socon doonto dhammaan mudnaanta deegaanka waalidka.

Sida caadiga ah, kooxuhu waxay ku rakiban yihiin weel wax-akhris-kaliya ah, laakiin dhib ma leh dib-u-soo-celinta been-abuurka ah qaabka qoraalka ee CAP_SYS_ADMIN ama iyadoo la abuurayo weel buul leh oo leh magac isticmaale oo gooni ah iyadoo la adeegsanayo nidaamka wicitaanka joojinta wadaagista, kaas oo xuquuqda CAP_SYS_ADMIN waa la heli karaa weelka la abuuray.

Weerarka waxa lagu samayn karaa iyada oo mudnaanta xididka lagu jiro weel cidla ah ama adigoo socodsiinaya weelka aan lahayn calanka no_new_privs, kaas oo mamnuucaya helitaanka mudnaanta dheeraadka ah.

Nidaamku waa in uu taageero u leeyahay meelaha magacyada isticmaale (oo si caadi ah ugu shaqeeya Ubuntu iyo Fedora, laakiin aan awood u lahayn Debian iyo RHEL) oo waxay marin u heli karaan xididka v1 cgroup (tusaale, Docker wuxuu ku shaqeeyaa weelasha kooxda xididka RDMA). Weerarku waxa kale oo suurtogal ah iyada oo leh mudnaanta CAP_SYS_ADMIN, taas oo ay dhacdo in taageerada meelaha magac-isticmaalka iyo gelitaanka nidaamka xididka ee cgroup v1 aan loo baahnayn.

Marka laga soo tago ka go'itaanka weelka go'doonsan, dayacanka ayaa sidoo kale ogolanaya hababka uu bilaabay isticmaalaha xididka isagoo aan lahayn "awood" ama isticmaale kasta oo leh xuquuqaha CAP_DAC_OVERRIDE (weerarku wuxuu u baahan yahay marin u helka /sys/fs/cgroup/*/faylka sii daynta_agent uu leeyahay) xidid) si aad u hesho dhammaan "awoodaha" nidaamka.

Marka laga reebo weelasha, nuglaanta waxay sidoo kale u oggolaan kartaa geeddi-socodka martida loo yahay iyada oo aan lahayn karti, ama hababka martida aan xididka lahayn ee leh awoodda CAP_DAC_OVERRIDE, si kor loogu qaado mudnaanta si loo helo awood buuxda. Tani waxay u oggolaan kartaa weeraryahannada inay dhaafaan cabbir adag oo ay isticmaalaan adeegyada qaarkood, kaas oo meesha ka saaraya awoodaha isku dayga lagu xaddidayo saameynta haddii tanaasulku dhaco.

Cutubka 42 ayaa ku talinaya isticmaaleyaasha in loo cusboonaysiiyo nooca kernel-ka go'an. weelashaas ordaya, karti u yeelo Seccomp oo hubi in AppArmor ama SELinux ay daaran tahay. Isticmaalayaasha Prisma Cloud waxay tixraaci karaan "Prisma Cloud Protections" qaybta si ay u arkaan yaraynta ay bixiso Prisma Cloud.

Ogsoonow in nuglaanta aan laga faa'iidaysan karin marka la isticmaalayo hababka ilaalinta Seccomp, AppArmor ama SELinux ee go'doominta weelka dheeriga ah, maadaama Seccomp uu xannibayo wicitaanka nidaamka unshare() iyo AppArmor iyo SELinux ma oggola in koox-kooxeedyada lagu rakibo qaab qoraal ah.

Ugu dambeyntii, waxaa xusid mudan in lagu hagaajiyay noocyada kernel 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 iyo 4.9.301. Waxaad raaci kartaa siidaynta xirmada cusub ee qaybinta boggagan: DebianSUSEUbuntuRHELFedoraGentooArch Linux.

Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato, waxaad ka eegi kartaa faahfaahinta xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.