Forum Debian Users Gang

Witam. Jann Horn zgłosił osiem błędów w weryfikatorze eBPF, jeden dot. jądra v4.9 i siedmiu v4.14. Niektóre z tych błędów powodują, że programy eBPF mogą odczytywać i zapisywać dowolną pamięć jądra, a zatem mogą zostać użyte do różnych celów, w tym eskalacji uprawnień etc. Jak zauważył Ben Hutchings ("Since Debian 9 "stretch", we've shipped a Linux kernel supporting the "enhanced BPF" feature which allows unprivileged user space to upload code into the kernel"), jednym ze sposobów rozwiązania w/w problemów jest wyłączenie, zablokowanie nieuprawnionego dostępu do BPF (a dokładniej do wywołania bpf()) przy użyciu następującego klucza: kernel.unprivileged_bpf_disabled = 1.

Istnieje publiczny exploit, który wykorzystuje kilka ze wspomnianych błędów, w celu uzyskania uprawnień root'a. Ben Hutchings sugeruje zatem zastosowanie w/w opcji na wszystkich systemach z jądrem v4.4 i nowszych ("I recommend applying the above mitigation as soon as possible to all systems running Linux 4.4 or later.") do czasu pojawienia się stosownych aktualizacji.

Więcej informacji:

✗ Jann Horn: Linux >=4.9: eBPF memory corruption bugs
✗ Project Zero: arbitrary read+write via incorrect range tracking in eBPF
✗ Ben Hutchgins: BPF security issues in Debian

[1] Debian: sysctl.d(5) (zob. EXAMPLES)

Wesołych Świąt! Pozdrawiam.

EDYCJA: formatowanie tekstu

Ostatnio edytowany przez remi (2018-01-18 11:13:02)