LINUX.ORG.RU

Новая активно используемая уязвимость в netfilter ядра Linux

 , , ,


2

2

Агентство по кибербезопасности и защите инфраструктуры (U.S. Cybersecurity and Infrastructure Security Agency (CISA)) добавило в свой каталог активно используемых уязвимостей недавно найденную проблему в ядре Linux: CVE-2024-1086 Linux Kernel Use-After-Free Vulnerability.

Речь идёт о компоненте nf_tables, внутри встроенного в ядро фаервола netfilter, которая может быть эксплуатирована для эскалации локальных привилегий. Ошибка связана с неправильным взаимодействием функций nft_verdict_init() и nf_hook_slow(), которое приводит к двойному освобождению памяти.

Рекомендовано срочно обновиться или откатить ядро до версии перед коммитом f342de4e2f33e0e39165d8639387aa6c19dff660

>>> Подробности



Проверено: maxcom ()

Очередная «уязвимость» эскалации привелегий до рута, для эксплуатации которой и так нужен рут чтобы включить unpriveleged userns и чтобы созлаваиь правила nftables

mittorn ★★★★★
()
Ответ на: комментарий от mittorn

Кем же она так активно используется, что американская CISA внесла её в свой список «срочно обновитесь»?

zg
() автор топика
Ответ на: комментарий от zg

Кем же она так активно используется, что американская CISA внесла её в свой список «срочно обновитесь»?

Очевидно конкурентами из других стран/альянсов :)

skyman ★★★
()
Ответ на: комментарий от zg

А вдруг? :) Видать, довольно легко построить атаку, в отличие от большинства «гипотетических» CVE.

gns ★★★★★
()
Ответ на: комментарий от zg

Возможно, пользователями контейнеров?
Я, честно говоря, не понимаю, зачем unpriveleged userns clone разрешать, рут в контейнере хоть и не рут на самом деле, даёт доступ к огромному количеству потенциально уязвимых механизмов ядра. Как я понимаю, тут он нужен для быстрого изменения состояния netfilter, чтобы спровоцировать уязвимость

mittorn ★★★★★
()
Ответ на: комментарий от mittorn

зачем unpriveleged userns clone разрешать

Для запуска контейнеров без рута?

Очередной «мне не нужно, значит никому не нужно» 🤦

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)

Эээ… Это заявил филиал CISA в Эстонии, что ли? В том же Debian эта уязвимость была исправлена ещё 1 февраля.

Rootlexx ★★★★★
()

Пора его уже на eBPF переписать :)

zabbal ★★★★★
()

Рекомендовано срочно обновиться или откатить ядро до версии перед коммитом f342de4e2f33e0e39165d8639387aa6c19dff660

Уязвимые версии ядра (от и до) бы лучше указал.

firkax ★★★★★
()

Ее от пользователя www-data эксплуатировать можно?

rtxtxtrx ★★
()

Можно больше подробностей? Как понять что ты уязвим? Обходные решения на уровне конфигурации есть какие-то?

anonymoos ★★★★★
()
Ответ на: комментарий от mittorn

Я в этом всём не разбираюсь, но как-то поднимал в кубере VPN в поде. И nftables в этом поде нормально работали.

vbr ★★★★
()
Ответ на: комментарий от vbr

Значит там уязвимость действительно актуальна. Но по факту включение таких вещей, как контейнеризация от юзера имеет в себе определённые риски. Большинство уязвимостей повышения привелегий за последние несколько лет так или иначе связаны с наличием cap_sys_admin в кониейнере.
Вообще если хочется действительно безопасную среду сделать - стоит глянуть в сторону android: там запрещён userns, netlink сокеты. Я конечно не предлагаю такое для основного пользователя делать, но вот в контейнере, запускающем потенциально опасный код вполне может быть полезно. А вместо unpriveleged userns clone исполтзовать bubblewrap

mittorn ★★★★★
()
Ответ на: комментарий от mittorn

А вместо unpriveleged userns clone исполтзовать bubblewrap

который использует что? Правильно, unprivileged_userns_clone.

Нет хлеба? Ешьте пирожные.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от t184256

Не обязательно unpriveleged. Просто самому бинарю suid можно выдать, тем самым избежав userns clone вне bwrap

mittorn ★★★★★
()
11 августа 2024 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.