क्वालिसचे अनावरण केले मी ओळखलेली बातमी दोन असुरक्षा (CVE-2021-44731 आणि CVE-2021-44730) स्नॅप-कंफाइन युटिलिटीमध्ये, रूट SUID ध्वजासह पाठविले जाते आणि स्नॅप पॅकेजेसमध्ये वितरीत केलेल्या अनुप्रयोगांसाठी एक एक्झिक्यूटेबल वातावरण निर्माण करण्यासाठी snapd प्रक्रियेद्वारे कॉल केले जाते.
ब्लॉग पोस्टमध्ये असे नमूद केले आहे भेद्यता एक विशेषाधिकार नसलेल्या स्थानिक वापरकर्त्यास रूट म्हणून कोडची अंमलबजावणी करण्यास अनुमती देते प्रणाली मध्ये.
प्रथम असुरक्षा भौतिक दुवा हाताळणी हल्ल्याला अनुमती देते, परंतु सिस्टम हार्डलिंक संरक्षण अक्षम करणे आवश्यक आहे (sysctl fs.protected_hardlinks 0 वर सेट करून).
समस्या हे एक्झिक्युटेबलच्या स्थानाच्या चुकीच्या पडताळणीमुळे आहे स्नॅप-अपडेट-एनएस आणि स्नॅप-डिस्कॉर्ड-एनएस युटिलिटीज जे रूट म्हणून चालतात. या फाइल्सचा मार्ग sc_open_snapd_tool() फंक्शनमध्ये /proc/self/exe मधील स्वतःच्या मार्गावर आधारित मोजला गेला, ज्यामुळे तुम्हाला तुमच्या निर्देशिकेत बंदिस्त करण्यासाठी हार्ड लिंक तयार करता येईल आणि तुमचे पर्याय snap-update-ns आणि स्नॅपमध्ये ठेवता येतील. या निर्देशिकेत - discard-ns. हार्ड लिंकवरून लाँच केल्यावर, रूट म्हणून snap-confine हे वर्तमान निर्देशिकेतून आक्रमणकर्त्याने बदललेल्या स्नॅप-अपडेट-एनएस आणि स्नॅप-डिस्कॉर्ड-एनएस फाइल्स कार्यान्वित करेल.
या असुरक्षिततेचे यशस्वी शोषण कोणत्याही गैर-विशेषाधिकारी वापरकर्त्यास असुरक्षित होस्टवर मूळ विशेषाधिकार प्राप्त करण्यास अनुमती देते. क्वालिस सुरक्षा संशोधक स्वतंत्रपणे असुरक्षा सत्यापित करण्यात, शोषण विकसित करण्यात आणि डीफॉल्ट उबंटू इंस्टॉलेशन्सवर संपूर्ण रूट विशेषाधिकार प्राप्त करण्यात सक्षम झाले आहेत.
Qualys संशोधन कार्यसंघाने भेद्यतेची पुष्टी करताच, आम्ही जबाबदार असुरक्षा प्रकटीकरणात गुंतलो आणि या नव्याने सापडलेल्या भेद्यतेची घोषणा करण्यासाठी विक्रेता आणि मुक्त स्त्रोत वितरणाशी समन्वय साधला.
दुसरी भेद्यता वंशाच्या स्थितीमुळे होते आणि डीफॉल्ट उबंटू डेस्कटॉप कॉन्फिगरेशनमध्ये शोषण केले जाऊ शकते. उबंटू सर्व्हरवर शोषण यशस्वीरित्या कार्य करण्यासाठी, तुम्ही स्थापनेदरम्यान "वैशिष्ट्यीकृत सर्व्हर स्नॅप्स" विभागातील पॅकेजपैकी एक निवडणे आवश्यक आहे.
शर्यतीची स्थिती setup_private_mount() फंक्शनमध्ये प्रकट होते झटपट पॅकेजसाठी माउंट पॉइंट नेमस्पेस तयार करताना कॉल केला जातो. हे फंक्शन "/tmp/snap.$SNAP_NAME/tmp" तात्पुरती निर्देशिका तयार करते किंवा स्नॅप पॅकेजसाठी निर्देशिका जोडण्यासाठी आणि माउंट करण्यासाठी विद्यमान एक वापरते.
तात्पुरत्या निर्देशिकेचे नाव अंदाज करण्यायोग्य असल्याने, आक्रमणकर्ता मालकाची पडताळणी केल्यानंतर, परंतु माउंट सिस्टमला कॉल करण्यापूर्वी त्यातील सामग्री प्रतीकात्मक दुव्यामध्ये बदलू शकतो. उदाहरणार्थ, तुम्ही /tmp/snap.lxd डिरेक्टरीमध्ये "/tmp/snap.lxd/tmp" एक सिमलिंक तयार करू शकता जी अनियंत्रित डिरेक्टरीकडे निर्देश करते आणि mount() कॉल सिमलिंकचे अनुसरण करेल आणि डिरेक्टरीला स्पेसमध्ये माउंट करेल. नावांची.
त्याचप्रमाणे, तुम्ही त्यातील सामग्री /var/lib मध्ये माउंट करू शकता आणि, /var/lib/snapd/mount/snap.snap-store.user-fstab ओव्हरराइड करून, तुमची लायब्ररी लोड करण्यासाठी पॅकेज नेमस्पेस स्नॅपमध्ये तुमची /etc डिरेक्टरी माउंट करण्याची व्यवस्था करा. /etc/ld.so.preload बदलून रूट ऍक्सेसमधून.
ते पाळले जाते शोषण तयार करणे हे एक क्षुल्लक कार्य असल्याचे दिसून आले, snap-confine युटिलिटी सुरक्षित प्रोग्रामिंग तंत्र वापरून लिहिलेली असल्याने (snapd Go मध्ये लिहीले जाते, परंतु C चा वापर स्नॅप-कन्फाइनसाठी केला जातो), अॅपआर्मर प्रोफाइलवर आधारित संरक्षण असते, seccomp मेकॅनिझमवर आधारित फिल्टर सिस्टम कॉल आणि माउंट नेमस्पेस वापरते. अलगाव साठी.
तथापि, संशोधक एक कार्यात्मक शोषण तयार करण्यास सक्षम होते प्रणालीवर रूट प्रवेश मिळवण्यासाठी. वापरकर्त्यांनी प्रदान केलेली अद्यतने स्थापित केल्यानंतर काही आठवड्यांनंतर शोषण कोड जारी केला जाईल.
शेवटी, हे नमूद करण्यासारखे आहेsnapd पॅकेज अपडेटमध्ये समस्यांचे निराकरण करण्यात आले उबंटू आवृत्ती 21.10, 20.04 आणि 18.04 साठी.
Snap चा वापर करणार्या इतर वितरणांव्यतिरिक्त, Snapd 2.54.3 रिलीझ केले गेले आहे, जे वरील समस्यांव्यतिरिक्त, आणखी एक भेद्यता (CVE-2021-4120) निश्चित करते, जे विशेष डिझाइन केलेले प्लगइन पॅकेजेस स्थापित करताना, परवानगी देते. अनियंत्रित AppArmor नियम ओव्हरराइड करा आणि पॅकेजसाठी सेट केलेले प्रवेश प्रतिबंध बायपास करा.
आपण असाल तर याबद्दल अधिक जाणून घेण्यात स्वारस्य आहे, आपण तपशील तपासू शकता पुढील लिंकवर