GameOver(lay) влияет на 40% облачных рабочих нагрузок Ubuntu
Недавно Исследователи Wiz Research опубликовали информацию о открытие две уязвимости в Пакеты ядра Linux, предоставленные Ubuntu вызвано специфическими для Ubuntu исправлениями в реализации модуля OverlayFS.
Что касается уязвимостей, обнаруженных и названных «GameOver(lay)» (и занесенных в каталог под CVE-2023-2640 и CVE-2023-32629), упоминается, что эти позволяет повысить привилегии в системе и, по мнению исследователей, выявивших проблемы, их можно использовать примерно на 40% установок Ubuntu.
CVE-2023-2640 и CVE-2023-32629 были обнаружены в модуле OverlayFS в Ubuntu, широко используемой файловой системе Linux, которая стала очень популярной с появлением контейнеров, поскольку ее функции позволяют реализовывать динамические файловые системы на основе готовые системы.
О первой уязвимости (CVE-2023-2640) упоминается как вызванное специфичным для Ubuntu изменением, добавленным в модуль OverlayFS. в 2018, который реализует функции для установки и удаления отдельных расширенных атрибутов файла без проверки разрешений. Поскольку выполнение этой функции требует предварительной блокировки инода, предполагалось, что вызывающая функция уже имеет необходимые привилегии для низкоуровневой работы с файловой системой.
на начальном этапе, это изменение применялось только к атрибутам вызова и было безвредным. Но в 2022 г. добавлен патч к основной реализации OverlayFS в ядре Linux, которые конфликтовали с исправлениями, специфичными для Ubuntu, после чего проверка была отключена для всех расширенных атрибутов. Манипулируя пространствами имен пользователей, непривилегированный пользователь может смонтировать OverlayFS. и установить расширенные атрибуты для файлов в смонтированной файловой системе, в результате чего эти атрибуты будут переданы файлам на верхнем уровне OverlayFS.
Эти две уязвимости уникальны для Ubuntu, поскольку Ubuntu в 2018 году внесла несколько изменений в модуль OverlayFS. В то время эти изменения не представляли риска. В 2020 году была обнаружена и исправлена уязвимость в ядре Linux; однако из-за модификаций Ubuntu дополнительный уязвимый поток в Ubuntu так и не был исправлен. Это показывает сложную взаимосвязь между ядром Linux и выпусками дистрибутива, поскольку оба обновляют ядро для разных вариантов использования.
Вторая уязвимость CVE-2023-32629 также связана с отсутствием проверок соответствующих разрешений. Поскольку это упоминается как случай первой уязвимости, патч, изначально созданный для Ubuntu, не привел к уязвимости, и проблема появилась только после изменения основной реализации OverlayFS, сделанного в 2019 году.
И это то, что при монтировании OverlayFS с метакопирование = вкл., Linux не копирует файл целиком, если изменились только его метаданные. Вместо этого он копирует только метаданные, включая возможности файлов, что позволяет разместить полностью функциональный подготовленный исполняемый файл за пределами пользовательского пространства.
Стоит отметить, что указано, что для эксплуатации выявленных уязвимостей могут использоваться уже имеющиеся работающие эксплойты в открытом доступе, созданный для вышеуказанной уязвимости в модуле OverlayFS. Для проведения атаки необходимо, чтобы непривилегированный пользователь разрешил системе монтировать разделы OverlayFS.
на исправления уязвимостей, упоминается, что они уже реализованы незадолго до их раскрытия. Уязвимости затрагивают различные поддерживаемые версии Ubuntu и исправлены в обновлениях, выпущенных 26 июля.
Что касается обходного пути для блокировки уязвимостей, упоминается, что достаточно просто отключить возможность для непривилегированных пользователей создавать пространства имен идентификаторов пользователей. Вы можете сделать это, выполнив следующие команды:
sudo sysctl -w kernel.unprivileged_userns_clone=0 echo kernel.unprivileged_userns_clone=0 | \ sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf
В конце концов если вам интересно узнать об этом больше, я приглашаю вас посетить оригинальную статью, опубликованную Wiz Research, посетив их блог по адресу по следующей ссылке.