Firejail, Connman va GNU Guix-da aniqlangan xavfli zaifliklar

Bir necha kun oldin ular o'zlarini tanitdilar yangiliklari ba'zi zaif tomonlarni aniqlash siz xavfli deb hisoblaysizmi Firejail, Connman va GNU Guix-da. Va bu holatda qum maydonidagi dasturlarni ishga tushirish tizimida aniqlangan zaiflik Yong'in qamoqxonasi  (CVE-2021-26910) bu root foydalanuvchisiga imtiyozlarni oshirishga imkon beradi.

Yong'in qamoqxonasi ism maydonlaridan foydalaning, Linuxda izolyatsiya qilish uchun AppArmor va tizim qo'ng'iroqlarini filtrlash (seccomp-bpf), lekin ajratilgan yuklashni sozlash uchun yuqori imtiyozlar talab qilinadi, bu yordam dasturiga suid root bayrog'i bilan bog'lanish yoki sudo bilan ishlash orqali olinishi mumkin.

Zaiflik OverlayFS fayl tizimini qo'llab-quvvatlash kodidagi xato tufayli yuzaga keladi, izolyatsiya qilingan jarayon tomonidan kiritilgan o'zgarishlarni saqlash uchun asosiy fayl tizimining yuqori qismida qo'shimcha qatlam yaratish uchun foydalaniladi. Asosiy fayl tizimiga o'qishga kirish huquqini olish uchun ajratilgan jarayon qabul qilinadi va barcha yozish operatsiyalari vaqtinchalik saqlashga yo'naltiriladi va haqiqiy asosiy fayl tizimiga ta'sir qilmaydi.

Avvalboshdan, OverlayFS bo'limlari foydalanuvchining uy katalogiga o'rnatiladiMasalan, "/home/test/.firejail/" ichida [[name] ”mavjud, shu katalog egasi joriy foydalanuvchi o'z tarkibini to'g'ridan-to'g'ri o'zgartira olmasligi uchun ildizga o'rnatiladi.

Sandbox muhitini o'rnatishda, Firejail OverlayFS vaqtinchalik bo'limining ildizini imtiyozsiz foydalanuvchi o'zgartira olmasligini tekshiradi. Ushbu zaiflik poyga holatidan kelib chiqadi, chunki operatsiyalar atomik tarzda bajarilmaydi va tekshirish va o'rnatish o'rtasida qisqa vaqt bor, bu root .firejail katalogini joriy foydalanuvchi yozish huquqiga ega bo'lgan katalog bilan almashtirishga imkon beradi ( .firejail foydalanuvchi katalogida yaratilganligi sababli foydalanuvchi uni qayta nomlashi mumkin).

.Firejail katalogiga yozish huquqiga ega bo'lish, o'rnatish nuqtalarini bekor qilishga imkon beradi OverlayFS ramziy havola bilan va tizimdagi har qanday faylni o'zgartiring. Tadqiqotchi ekspluatatsiyaning ishchi prototipini tayyorladi, u tuzatish chiqarilgandan bir hafta o'tgach nashr etiladi. Muammo 0.9.30 versiyasidan beri paydo bo'ladi. 0.9.64.4 versiyasida OverlayFS-ni qo'llab-quvvatlashni o'chirib qo'yish orqali zaiflik bloklandi.

Shu bilan bir qatorda zaiflikni blokirovka qilish uchun siz "overlayfs" parametrini "no" qiymati bilan /etc/firejail/firejail.config-ga qo'shib, OverlayFS-ni o'chirib qo'yishingiz mumkin.

Ikkinchi zaiflik Aniqlangan xavfli (CVE-2021-26675) tarmoq konfiguratorida edi ConnMan, o'rnatilgan Linux tizimlari va IOT qurilmalarida keng tarqalgan. Bu zaiflik potentsial ravishda tajovuzkor kodini masofadan bajarishga imkon beradi.

Muammo bu dnsproxy kodidagi bufer toshib ketishi bilan bog'liq va DNS-proksi-server trafikni qayta yo'naltirish uchun tuzilgan DNS-serverdan maxsus tayyorlangan javoblarni qaytarish orqali foydalanish mumkin. ConnMan-dan foydalanadigan Tesla muammo haqida xabar berdi. Kechagi ConnMan 1.39-ning chiqarilishida zaiflik aniqlandi.

FINALMENTE, xavfsizlikning boshqa zaif tomonlari u tarqatib yuborgan edi GNU Guix va suid-root fayllarini / run / setuid-programs katalogiga joylashtirishning o'ziga xos xususiyati bilan bog'liq.

Ushbu katalogdagi dasturlarning aksariyati setuid-root va setgid-root bayroqlari bilan jo'natilgan, ammo ular setgid-root bilan ishlashga mo'ljallanmagan, bu tizimdagi imtiyozlarni oshirish uchun ishlatilishi mumkin.

Biroq, ushbu dasturlarning aksariyati setuid-root sifatida ishlashga mo'ljallangan, ammo setgid-root sifatida emas. Shuning uchun, ushbu konfiguratsiya mahalliy imtiyozlarning kuchayishi xavfini tug'dirdi ("xorijiy tarqatish" dagi Guix foydalanuvchilari ta'sir qilmaydi).

Ushbu xato tuzatildi va foydalanuvchilarga o'z tizimlarini yangilash tavsiya etiladi….

Bugungi kunda ushbu muammoning ma'lum ekspluatatsiyasi mavjud emas

FINALMENTE agar siz bu haqda ko'proq bilishni xohlasangiz Xabar qilingan zaifliklarning eslatmalari haqida siz ushbu yo'nalishdagi ma'lumotlarni quyidagi havolalarda tekshirishingiz mumkin.

Yong'in qamoqxonasi, Konman y GNU Guix


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.