Исправлена ​​ошибка удаленного выполнения кода в модуле TIPC ядра Linux

  • Sep 26, 2023

Ошибка была обнаружена в течение года после появления в кодовой базе.

В модуле TIPC ядра Linux исправлена ​​уязвимость выполнения кода.

Безопасность

  • 8 привычек высокозащищенных удаленных работников
  • Как найти и удалить шпионское ПО с телефона
  • Лучшие VPN-сервисы: как сравнить пятерку лучших?
  • Как узнать, причастны ли вы к утечке данных, и что делать дальше

Прозрачное межпроцессное взаимодействие (ТИПК) был разработан для облегчения внутрикластерной связи через соединения Ethernet или UDP и способен адресовать службы, отслеживать, управлять связью между узлами и многое другое.

Этот протокол реализован в пакете модуля ядра основных дистрибутивов Linux.

В четверг SentinelOne исследователи сказали что КодQL недавно использовался при расследовании ошибок в проектах с открытым исходным кодом. CodeQL — это механизм семантического анализа кода, который позволяет пользователям запрашивать код, «как если бы это были данные», и именно этот инструмент позволил команде найти серьезную ошибку в проекте модуля TIPC.

По словам исследователей, была обнаружена уязвимость переполнения кучи, которую можно было использовать как локально, так и удаленно. чтобы получить привилегии уровня ядра, «позволяя злоумышленнику поставить под угрозу не только одну службу, но и всю систему».

SentinelOne обнаружил, что источником проблемы является функция, представленная в сентябре 2020 года как часть дорожной карты модуля TIPC, новый тип пользовательских сообщений под названием MSG_CRYPTO.

Хотя модуль правильно проверяет размеры сообщения и заголовка на соответствие длинам полученных пакетов, существует отсутствие проверки члена keylen сообщения MSG_CRYPTO и размера алгоритма ключа. имена.

«Это означает, что злоумышленник может создать пакет с небольшим размером тела для выделения кучи памяти и затем используйте произвольный размер в атрибуте keylen, чтобы писать за пределами границ», — исследователи объяснил. «Эту уязвимость можно использовать как локально, так и удаленно».

«Хотя локальная эксплуатация проще благодаря большему контролю над объектами, размещенными в куче ядра, удаленная эксплуатация может быть достигнута благодаря структурам, которые поддерживает TIPC».

Ошибка безопасности затрагивает версию ядра 5.10.

В настоящее время нет никаких свидетельств злоупотреблений в реальных условиях, и следует также отметить, что, хотя этот модуль включен в основные дистрибутивах, его необходимо загрузить, чтобы протокол был включен, поэтому только сборки с этой активной функцией могут быть уязвимы для эксплуатировать.

SentinelOne сообщил об ошибке команде Kernel.org 19 октября. Патч был доработан сопровождающими модуля к 21 октября и выпущен lore.kernel.org четыре дня спустя. Исправление также добавлено в основной репозиторий, выпущенный 29 октября в версии 5.15.

Предыдущее и связанное освещение

  • Вредоносное ПО FontOnLake поражает системы Linux целевыми атаками
  • Linux Foundation добавляет безопасность цепочки поставок программного обеспечения в LFX
  • Microsoft раскаивается в своей ошибке с открытым исходным кодом .NET

Есть подсказка? Безопасная связь через WhatsApp | Позвоните по номеру +447713 025 499 или по телефону Keybase: charlie0.