Po spustení nová verzia Ubuntu 23.10 "Mantic Minotaur" všetky detaily už boli zverejnené tejto novej verzie populárnej distribúcie Linuxu (môžete si prečítať publikáciu o nej v ce lien.). Z veľkého množstva zmien, ktoré spustenie sprevádzajú, je niekoľko konkrétnych, ktoré menia určité aspekty systému.
Dôvodom zmienky je to jednou z týchto zmien je nové obmedzenie ktorý bol uložený na menné priestory používateľov.
Nová zmena ako taká implementovaná spoločnosťou Canonical v Ubuntu 23.10 je určený na obmedzenie prístupu neprivilegovaných používateľov k priestorom názvov, vďaka čomu sú systémy, ktoré sa spoliehajú na izoláciu kontajnerov, bezpečnejšie proti zraniteľnostiam, ktoré vyžadujú manipuláciu s mennými priestormi používateľov, aby mohli byť zneužité.
undefined Neprivilegované užívateľské menné priestory sú funkciou jadra ktoré sa dajú použiť nahradiť mnohé použitia programov setuid a setguid a umožniť aplikáciám vytvárať bezpečnejšie karantény. Menné priestory v jadre Linuxu umožňujú priradiť rôzne reprezentácie zdrojov rôznym procesom; Proces môže byť napríklad umiestnený do prostredia s vlastnými prípojnými bodmi, UTS, IPC, PID a sieťovým zásobníkom, ktoré sa neprekrývajú s prostredím iných procesov.
Menné priestory pre neprivilegovaných používateľov umožňujú vytváranie menných priestorov nielen pre užívateľa root, ale aj pre bežných neprivilegovaných užívateľov (používa sa napr. pre prehliadače v karanténe). Okrem iného môžete vytvárať užívateľské menné priestory a sieťové menné priestory, ktoré umožniť proces v izolovanom prostredí samostatné získať práva root alebo pristupujte k pokročilým funkciám sieťového zásobníka, ale mimo kontajnera zostanú neprivilegované.
Teoreticky operácie privilegované v rámci menného priestoru Sú izolované od hlavného systému, v praxi však pravidelne vznikajú zraniteľnosti v podsystémoch jadra, ktoré sú v hlavnom prostredí pre neprivilegovaného používateľa nedostupné, ale môžu byť zneužité manipuláciami z menných priestorov.
Problém s týmto modelom, je, že odhaľujú rozhrania jadra ktoré sú zvyčajne obmedzené na procesy s privilegovanými (root) schopnosťami na použitie neprivilegovanými používateľmi. To je dôvod, prečo To sa zase stáva procesom, ktorý prináša ďalšie bezpečnostné riziká., odhaľovaním väčšieho množstva rozhraní jadra, ako je potrebné, a navyše sú teraz široko používané ako krok v niekoľkých reťazcoch využívania eskalácie privilégií.
V prípade Ubuntu sa to teraz zmenilo, pretože prístup k priestorom názvov používateľov je teraz udelený iba programom, pre ktoré bol pridaný špeciálny profil AppArmor, ktorý možno použiť ako príklad na otvorenie prístupu k priestoru mien používateľov pre iné programy. Zmena je spomenutá s cieľom zlepšiť bezpečnosť systémov, ktoré využívajú izoláciu kontajnerov od zraniteľností vyžadujúcich prístup k mennému priestoru používateľa, aby ich bolo možné zneužiť.
Zatiaľ čo zakázanie neprivilegovaných užívateľských menných priestorov môže zastaviť exploit, môže tiež poškodiť aplikácie, ktoré ich používajú. Zneužitie sa zvyčajne zameriava na konkrétnu aplikáciu a pokiaľ je možné pre tieto aplikácie zakázať neprivilegované priestory názvov používateľov, nie je potrebné ich deaktivovať v celom systéme.
Je to spomenuté nebude ovplyvnená žiadna verzia pred Ubuntu 23.10 „Mantic Minotaur“. kvôli tejto zmene, dokonca aj pri použití jadra 6.5, pretože funkcia nie je povolená priamo v jadre, ale v špecifickom balíku apparmor Ubuntu 23.10 "Mantic Minotaur".
Nakoniec je spomenuté, že pre tých, ktorí chcú túto zmenu zakázať, môžu tak urobiť zadaním nasledovného do terminálu:
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0 sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
Ak ste záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.