தனிமைப்படுத்தப்பட்ட கொள்கலனில் இருந்து வெளியேற அனுமதிக்கும் cgroups v1 இல் ஒரு பாதிப்பை அவர்கள் கண்டறிந்தனர்

சில நாட்களுக்கு முன்பு செய்தி வெளியானது என்ற விவரங்கள் வெளியாகியுள்ளன ஒரு பாதிப்பு என்று கண்டுபிடிக்கப்பட்டது பொறிமுறையை செயல்படுத்துவதில் வள வரம்பு cgroups v1 லினக்ஸ் கர்னலில் ஏற்கனவே CVE-2022-0492 கீழ் பட்டியலிடப்பட்டுள்ளது.

இந்த பாதிப்பு கண்டறியப்பட்டது எஸ்தனிமைப்படுத்தப்பட்ட கொள்கலன்களில் இருந்து வெளியேற e பயன்படுத்தப்படலாம் மேலும் லினக்ஸ் கர்னல் 2.6.24 இலிருந்து சிக்கல் உள்ளது என்பது விரிவாக உள்ளது.

என்று வலைப்பதிவு இடுகையில் குறிப்பிடப்பட்டுள்ளது ரிலீஸ்_ஏஜென்ட் கோப்பு கையாளுதலில் உள்ள தருக்கப் பிழையின் காரணமாக பாதிப்பு ஏற்படுகிறது, எனவே ஓட்டுனர் முழு அனுமதியுடன் இயக்கப்பட்டபோது முறையான சோதனைகள் செய்யப்படவில்லை.

கோப்பு கர்னல் செயல்படுத்தும் நிரலை வரையறுக்க release_agent பயன்படுகிறது ஒரு செயல்முறை cgroup இல் முடிவடையும் போது. இந்த நிரல் ரூட் நேம்ஸ்பேஸில் உள்ள அனைத்து "திறனுடனும்" ரூட்டாக இயங்குகிறது. நிர்வாகிக்கு மட்டுமே release_agent உள்ளமைவுக்கான அணுகல் இருக்க வேண்டும், ஆனால் உண்மையில், காசோலைகள் ரூட் பயனருக்கு அணுகலை வழங்குவதற்கு மட்டுப்படுத்தப்பட்டன, இது கண்டெய்னரிலிருந்தோ அல்லது நிர்வாகமற்ற ரூட் பயனரால் (CAP_SYS_ADMIN ) உள்ளமைவை மாற்றுவதைத் தடுக்கவில்லை. .

முன்பு, இந்த அம்சம் ஒரு பாதிப்பாக கருதப்பட்டிருக்காது, ஆனால் பயனர் அடையாளங்காட்டி பெயர்வெளிகள் (பயனர் பெயர்வெளிகள்) வருகையுடன் நிலைமை மாறிவிட்டது, இது முக்கிய சூழலின் ரூட் பயனருடன் ஒன்றுடன் ஒன்று சேராத கொள்கலன்களில் தனி ரூட் பயனர்களை உருவாக்க உங்களை அனுமதிக்கிறது.

அதன்படி, தாக்குதலுக்கு, அதன் சொந்த ரூட் பயனரைக் கொண்ட ஒரு கொள்கலனில் இது போதுமானது உங்கள் வெளியீடு_ஏஜென்ட் ஹேண்ட்லரைச் செருகுவதற்கு ஒரு தனி பயனர் ஐடி இடத்தில், செயல்முறை முடிந்ததும், பெற்றோர் சூழலின் அனைத்து சலுகைகளுடன் இயங்கும்.

இயல்பாக, cgroupfs படிக்க மட்டுமேயான கொள்கலனில் பொருத்தப்பட்டுள்ளது, ஆனால் CAP_SYS_ADMIN உரிமைகளுடன் எழுதும் பயன்முறையில் இந்த சூடாஃப்களை மீண்டும் ஏற்றுவதில் எந்தப் பிரச்சனையும் இல்லை அல்லது சிஸ்டம் கால் ஃபார் ஸ்டாப் ஷேரிங்கைப் பயன்படுத்தி தனியான பயனர் பெயர்வெளியுடன் உள்ளமைக்கப்பட்ட கண்டெய்னரை உருவாக்குவது, இதில் CAP_SYS_ADMIN உரிமைகள் உருவாக்கப்பட்ட கொள்கலனில் கிடைக்கும்.

தாக்குதல் தனிமைப்படுத்தப்பட்ட கொள்கலனில் ரூட் சலுகைகள் மூலம் செய்ய முடியும் அல்லது கூடுதல் சலுகைகளைப் பெறுவதைத் தடுக்கும் no_new_privs கொடி இல்லாமல் கொள்கலனை இயக்குவதன் மூலம்.

கணினியில் பெயர்வெளிகளுக்கான ஆதரவு இயக்கப்பட்டிருக்க வேண்டும் பயனர் (உபுண்டு மற்றும் ஃபெடோராவில் முன்னிருப்பாக இயக்கப்பட்டது, ஆனால் Debian மற்றும் RHEL இல் இயக்கப்படவில்லை) மேலும் ரூட் v1 cgroupக்கான அணுகலைப் பெறலாம் (உதாரணமாக, RDMA ரூட் cgroupல் உள்ள கொள்கலன்களை Docker இயக்குகிறது). CAP_SYS_ADMIN சலுகைகளாலும் தாக்குதல் சாத்தியமாகும், இதில் பயனர் பெயர்வெளிகளுக்கான ஆதரவு மற்றும் cgroup v1 இன் ரூட் வரிசைக்கு அணுகல் தேவையில்லை.

தனிமைப்படுத்தப்பட்ட கொள்கலனில் இருந்து வெளியேறுவதுடன், "திறன்" இல்லாமல் ரூட் பயனர் அல்லது CAP_DAC_OVERRIDE உரிமைகள் உள்ள எந்தவொரு பயனரால் தொடங்கப்பட்ட செயல்முறைகளையும் பாதிப்பு அனுமதிக்கிறது (தாக்கிற்குச் சொந்தமான /sys/fs/cgroup/*/release_agent கோப்பை அணுக வேண்டும். ரூட்) கணினியின் அனைத்து "திறன்கள்" அணுகலைப் பெற.

கன்டெய்னர்களைத் தவிர, பாதிப்புகள், திறன்கள் இல்லாத ரூட் ஹோஸ்ட் செயல்முறைகள் அல்லது CAP_DAC_OVERRIDE திறன் கொண்ட ரூட் அல்லாத ஹோஸ்ட் செயல்முறைகள், சிறப்புரிமைகளை முழு திறன்களுக்கு அதிகரிக்க அனுமதிக்கலாம். இது சில சேவைகளால் பயன்படுத்தப்படும் கடினப்படுத்துதல் நடவடிக்கையைத் தாக்குபவர்களை அனுமதிக்கலாம், இது சமரசம் ஏற்பட்டால் தாக்கத்தை குறைக்கும் முயற்சியில் திறன்களை நீக்குகிறது.

யூனிட் 42 பயனர்கள் நிலையான கர்னல் பதிப்பிற்கு மேம்படுத்த பரிந்துரைக்கிறது. இயங்கும் கொள்கலன்களுக்கு, Seccomp ஐ இயக்கி, AppArmor அல்லது SELinux இயக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்தவும். ப்ரிஸ்மா கிளவுட் பயனர்கள் ப்ரிஸ்மா கிளவுட் வழங்கிய தணிப்புகளைக் காண “ப்ரிஸ்மா கிளவுட் பாதுகாப்புகள்” பகுதியைப் பார்க்கவும்.

கூடுதல் கொள்கலன் தனிமைப்படுத்தலுக்கான Seccomp, AppArmor அல்லது SELinux பாதுகாப்பு வழிமுறைகளைப் பயன்படுத்தும் போது பாதிப்பைப் பயன்படுத்த முடியாது என்பதை நினைவில் கொள்ளவும், ஏனெனில் Seccomp unshare() கணினி அழைப்பைத் தடுக்கிறது மற்றும் AppArmor மற்றும் SELinux ஆகியவை cgroupfகளை எழுதும் பயன்முறையில் ஏற்ற அனுமதிக்காது.

இறுதியாக, இது 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 மற்றும் 4.9.301 ஆகிய கர்னல் பதிப்புகளில் சரி செய்யப்பட்டது என்பது குறிப்பிடத்தக்கது. இந்தப் பக்கங்களில் விநியோகங்களில் தொகுப்பு புதுப்பிப்புகளின் வெளியீட்டைப் பின்தொடரலாம்: டெபியன்SUSEஉபுண்டுRHELஃபெடோராஜென்டூஆர்க் லினக்ஸ்.

இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பு.


கட்டுரையின் உள்ளடக்கம் எங்கள் கொள்கைகளை பின்பற்றுகிறது தலையங்க நெறிமுறைகள். பிழையைப் புகாரளிக்க கிளிக் செய்க இங்கே.

கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது.

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.