GameOver (lay) hat ynfloed op 40% fan Ubuntu-wolkwurkloads
Koartsein Wiz Research ûndersikers útbrocht ynformaasje oer de ûntdekking fan twa kwetsberens yn Linux kernel pakketten levere troch ubuntu feroarsake troch Ubuntu-spesifike patches yn 'e OverlayFS-module-ymplemintaasje.
Oangeande de kwetsberens ûntdutsen en neamd as "GameOver(lay)" (en katalogisearre ûnder CVE-2023-2640 en CVE-2023-32629) wurdt neamd dat dizze lit jo privileezjes op it systeem ferheegje en, neffens de ûndersikers dy't de problemen identifisearre, se kinne brûkt wurde op sawat 40% fan Ubuntu-ynstallaasjes.
CVE-2023-2640 en CVE-2023-32629 waarden fûn yn 'e OverlayFS-module yn Ubuntu, dat is in wiid brûkt Linux-bestânsysteem dat tige populêr waard mei de opkomst fan konteners, om't syn funksjes de ymplemintaasje fan dynamyske bestânsystemen mooglik meitsje op basis fan pre-boud systemen.
Oer de earste kwetsberens (CVE-2023-2640) wurdt neamd feroarsake troch in Ubuntu-spesifike feroaring tafoege oan de OverlayFS-module yn 2018 dat funksjes ymplementearret om yndividuele útwreide triemattributen yn te stellen en te ferwiderjen sûnder tagongsrjochten te kontrolearjen. Sûnt de útfiering fan dizze funksje fereasket in foarriedich inode slot, waard oannommen dat de caller fan de funksje al hie de nedige privileezjes foar leech-nivo wurk mei it triemsysteem.
Ynearsten, dizze feroaring allinnich tapast op oprop attributen en wie harmless. Mar yn 2022, tafoege in patch oan 'e wichtichste ymplemintaasje fan OverlayFS yn 'e Linux-kernel dy't yn konflikt wie mei Ubuntu-spesifike fixes, wêrnei't kontrôle útskeakele waard foar alle útwreide attributen. Troch manipulaasje fan brûkersnammeromten koe in unprivilegiearre brûker OverlayFS mount en set útwreide attributen op triemmen yn it monteare bestânsysteem, wêrtroch't dy attributen wurde trochjûn oan bestannen yn 'e boppeste laach fan OverlayFS.
De twa kwetsberens binne unyk foar Ubuntu, om't Ubuntu ferskate feroarings yn 'e OverlayFS-module yntrodusearre yn 2018. Dizze wizigingen wiene doe gjin risiko. Yn 2020 waard in feiligenskwetsberens yn 'e Linux-kernel ûntdutsen en patched; lykwols, troch Ubuntu modifikaasjes, in ekstra kwetsbere stream yn Ubuntu waard nea fêst. Dit toant de komplekse relaasje tusken de Linux-kernel en distribúsjeferzjes, om't beide de kernel bywurkje foar ferskate gebrûksgefallen.
De twadde kwetsberens CVE-2023-32629 is ek te tankjen oan ûntbrekkende kontrôles fan juste tastimmingen. Sûnt it wurdt neamd as it gefal fan 'e earste kwetsberens, hat de patch oarspronklik makke foar Ubuntu net liede ta de kwetsberens en it probleem ferskynde allinich nei in feroaring yn' e wichtichste OverlayFS-ymplemintaasje makke yn 2019.
En it is dat by mounting OverlayFS mei metakopy=op, Linux kopiearret net it hiele bestân as allinich de metadata fan it bestân feroare is. Ynstee dêrfan kopiearret it allinich de metadata, dy't bestânsmooglikheden omfettet, wêrtroch in folslein funksjoneel taret útfierber kin wurde pleatst bûten brûkersromte.
It is de muoite wurdich opskriuwen dat it stiet dat om identifisearre kwetsberens te eksploitearjen, kinne al beskikbere wurkjende eksploaten brûkt wurde yn it publike domein, makke foar de boppesteande kwetsberens yn 'e OverlayFS-module. Om in oanfal út te fieren, is it nedich foar in unprivilegiearre brûker om it systeem OverlayFS-partysjes te mount.
Oer de korreksjes fan de kwetsberens, wurdt neamd dat dizze binne al útfierd koart foar har iepenbiering. De kwetsberens beynfloedzje ferskate stipe ferzjes fan Ubuntu en wurde reparearre yn updates útbrocht op july 26.
Wat in oplossing foar it blokkearjen fan kwetsberens oanbelanget, wurdt neamd dat it gewoan útskeakeljen fan de mooglikheid foar net-privilegearre brûkers om nammeromten fan brûkers-ID's te meitsjen genôch is. Jo kinne dit dwaan troch de folgjende kommando's út te fieren:
sudo sysctl -w kernel.unprivileged_userns_clone=0 echo kernel.unprivileged_userns_clone=0 | \ sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf
finalmente as jo ynteressearre binne der mear oer te witten, Ik noegje jo út om it orizjinele artikel te besykjen publisearre troch Wiz Research, besykje har blog by folgjende link.