Portál AbcLinuxu, 9. května 2025 13:25

Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd

Společnost Qualys zveřejnila na svém blogu informace o v upstreamu již opravených bezpečnostních chybách CVE-2021-33909 v Linuxu (txt) a CVE-2021-33910 v systemd (txt). Chyba v Linuxu (fs/seq_file.c) je zneužitelná k lokální eskalaci práv.

21.7.2021 08:00 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

21.7.2021 09:34 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
Odpovědět | Sbalit | Link | Blokovat | Admin
Nedávno jsem se dočetl, že se v Debian Bullseye rozhodli, že user namespaces je technologie, která už dospěla a neobsahuje tolik bezpečnostních chyb, tak je možné ji ve výchozím nastavení povolit. A chvíli poté tu máme bezpečnostní chybu, kde user namespace poskytl triviální způsob, jak ji zneužít.
Quando omni flunkus moritati
21.7.2021 16:45 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd

Tady je potřeba si uvědomit, že ten problém není implementace (unprivileged) user namespace jako tasková, ta funguje přesně jak má. Typicky jde o chybu někde úplně jinde, která ale vyžaduje nějakou capability (tj. v praxi práva roota). Díky unprivileged user namespaces si ale i normální uživatel může vytvořit namespace, ve kterém taková práva má (ale jen omezená na ten namespace). To je důležité třeba pro bezpečnější spouštění různých kontejnerů nebo to některé aplikace (IIRC třeba chromium) využívají pro sandboxing. V praxi to ale také znamená, že uvnitř takového namespace (kontejneru) je příslušný uživatel "rootem" a může zadávat privilegované požadavky, na které v init namespace práva nemá. Často to bývají síťové věci jako třeba nedávno chyba v parsování iptables requestů (na ty je potřeba CAP_NET_ADMIN).

Jinak řečeno, problém není v dospělosti technologie (unprivileged) user namespace, ta funguje jen jako "zesilovač", který umožní zneužití "root only" chyby i normálnímu uživateli - sice jen uvnitř namespace (kontejneru), ale jádro je jen jedno a když spadne nebo umožní spuštění závadného kódu, tak je to globální problém (kontejner není virtuál).

21.7.2021 23:39 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
Tady je potřeba si uvědomit, že ten problém není implementace (unprivileged) user namespace jako tasková, ta funguje přesně jak má. ... Jinak řečeno, problém není v dospělosti technologie (unprivileged) user namespace
Napsal jsem snad něco, co by naznačovalo, že si to neuvědomuju?
Quando omni flunkus moritati
22.7.2021 00:07 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
Ta část "rozhodli, že user namespaces je technologie, která už dospěla a neobsahuje tolik bezpečnostních chyb" to trochu naznačovala, ale to mohla být jen nešťastná formulace. Vlastně si ani nevzpomínám, že by ta implementace (unprivileged) user namespaces jako taková měla nějak moc bezpečnostních chyb, IMHO to vždy bylo spíš tak, že s její pomocí se chyby v jiných částech jádra stávaly mnohem nebezpečnějšími. Ze své zkušenosti bych třeba připomněl dobu před pár lety, kdy se syzkaller zaměřil na historické a téměř nepoužívané síťové protokoly a drivery a výsledkem byla hromada různých chyb, které byly nebezpečné jenom právě v kombinaci s tím, že kdokoli se může stát rootem ve svém namespace.
22.7.2021 01:40 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
Formulace je podle mě v pořádku, z citované věty nevyplývá, že bych to tvrzení rozporoval.

Jinak přinejmenším na jeden případ, kdy v user namespace nějaká chyba umožňující získání práv byla, si vzpomínám - konkrétně že doporučené zamezení zneužití před updatem jádra bylo zápis nuly do unprivileged_userns_clone a že tohle nastavení bylo výchozí, tudíž nebylo potřeba honem honem dělat update jádra a/nebo měnit nastavení
Quando omni flunkus moritati
22.7.2021 01:46 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
konkrétně že doporučené zamezení zneužití před updatem jádra bylo zápis nuly do unprivileged_userns_clone

Jen pro pořádek: stejné doporučení by mohlo být i u chyb, kde featura jen z "root only" chyby udělala chybu zneužitelnou jakýmkoli lokálním uživatelem (pokud neexistoval rozumný workaround na samotnou chybu).

22.7.2021 10:00 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
No jo, dohledávat to nebudu
Quando omni flunkus moritati

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.