Критические уязвимости в подсистеме eBPF ядра Linux

23 декабря 2017 года

В подсистеме eBPF, позволяющей запускать обработчики для трассировки, анализа работы подсистем и управления трафиком, выполняемые внутри ядра в специальной виртуальной машине с JIT, выявлена серия уязвимостей, которые могут быть использованы локальным атакующим для запуска кода с правами ядра через загрузку специально оформленного eBPF-приложения. Выявленные уязвимости проявляются в ядрах Linux 4.9+ и 4.14+, но в общем виде проблемы в eBPF представляют опасность начиная с ядра 4.4, в котором появилась возможность загрузки программ eBPF непривилегированными пользователями.

Так как помимо опубликованных исследователями прототипов эксплоитов в сети выявлено наличие публично доступного рабочего эксплоита для получения root-доступа через данные уязвимости, рекомендуется срочно отключить поддержку запуска eBPF непривилегированными пользователями при помощи "sysctl kernel.unprivileged_bpf_disabled=1", что приведёт к невозможности использования обычными пользователями средств трассировки и анализа производительности на базе eBPF.

Исправление пока доступно только в виде патчей, которые ещё не включены в основной состав ядра. Дистрибутивы пока не выпустили обновления:

Источники

править
 
 
Creative Commons
Эта статья содержит материалы из статьи «Критические уязвимости в подсистеме eBPF ядра Linux», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.