Исходное сообщение
"Критические уязвимости в подсистеме eBPF ядра Linux" Отправлено opennews, 23-Дек-17 11:04
В подсистеме eBPF (http://prototype-kernel.readthedocs.io/en/latest/bpf/), позволяющей запускать обработчики для трассировки, анализа работы подсистем и управления трафиком, выполняемые внутри ядра в специальной виртуальной машине с JIT, выявлена (http://openwall.com/lists/oss-security/2017/12/21/2) серия уязвимостей, которые могут быть использованы локальным атакующим для запуска кода с правами ядра через загрузку специально оформленного eBPF-приложения. Выявленные уязвимости проявляются в ядрах Linux 4.9+ и 4.14+, но в общем виде проблемы в eBPF представляют опасность начиная с ядра 4.4, в котором появилась возможность загрузки программ eBPF непривилегированными пользователями. Так как помимо опубликованных исследователями прототипов эксплоитов (https://bugs.chromium.org/p/project-zero/issues/detail?id=14...) в сети выявлено (https://www.decadent.org.uk/ben/blog/bpf-security-issues-in-...) наличие публично доступного рабочего эксплоита для получения root-доступа через данные уязвимости, рекомендуется срочно отключить поддержку запуска eBPF непривилегированными пользователями при помощи "sysctl kernel.unprivileged_bpf_disabled=1", что приведёт к невозможности использования обычными пользователями средств трассировки и анализа производительности (https://www.opennet.ru/opennews/art.shtml?num=45391) на базе eBPF. Исправление пока доступно только в виде (https://git.kernel.org/linus/0c17d1d2c61936401f4702e1846e2c1...) патчей (https://git.kernel.org/linus/3db9128fcf02dcaafa3860a69a8a55d...), которые ещё не включены в основной состав ядра. Дистрибутивы пока не выпустили обновления: Debian (https://security-tracker.debian.org/tracker/CVE-2017-16995),  openSUSE (https://lists.opensuse.org/opensuse-security-announce/2017-12/), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1528519) и Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2...). Проблемы не затрагивают ядро из состава SUSE Linux Enterprise (https://www.suse.com/security/cve/CVE-2017-16995/) и Red Hat Enterprise Linux 5, 6 и 7 (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-16996). Отмечается, что публично доступные эксплоиты корректно не работают в Debian 9 с ядром 4.9 (eBPF включен по умолчанию для обычных пользователей), но, по мнению разработчиков (https://www.decadent.org.uk/ben/blog/bpf-security-issues-in-...) Debian, могут быть легко адаптированы для атаки. Уязвимости вызваны восемью ошибками (CVE-2017-16996 (https://security-tracker.debian.org/tracker/CVE-2017-16996)), появившимися в ядре 4.14, и одной ошибкой в ядре 4.9 (CVE-2017-16995 (https://security-tracker.debian.org/tracker/CVE-2017-16995)). Проблемы вызваны (https://bugs.chromium.org/p/project-zero/issues/detail?id=14...) некорректным преобразованием типов и отсутствием должных проверок в коде верификации eBPF-приложений (bpf/verifier.c), что позволяет осуществлять управляемое чтение и запись в произвольные области памяти ядра. Ряд проблем вызван тем, что в проверочном вызове check_alu_op() не осуществляется разделение между операциями BPF_ALU64|BPF_MOV|BPF_K (знаковое заполнение при чтение 32-разрядных значений в 64-разрядные ячейки) и BPF_ALU|BPF_MOV|BPF_K (добавочное заполнение нулями). Другие проблемы связаны с некорректным обрезанием значений регистров при преобразовании в значения меньшего размера, отсутствием проверки выхода за границы и выравнивания указателя стека. URL: http://openwall.com/lists/oss-security/2017/12/21/2 Новость: http://www.opennet.ru/opennews/art.shtml?num=47792