Et sikkerhetsproblem med kodekjøring har blitt korrigert i TIPC-modulen til Linux-kjernen.
TIPC-modulen (Transparent Inter Process Communication) er designet for å forenkle intra-klyngen kommunikasjon over Ethernet- eller UDP-tilkoblinger og er i stand til å betjene adressering, sporing, administrere kommunikasjon mellom noder og mer.
Denne protokollen er implementert i en kjernemodulpakke med store Linux-distros.
På torsdag sa SentinelOne-forskere at CodeQL nylig har blitt brukt i feiljaktundersøkelser på åpen kildekode-prosjekter. CodeQL er en semantisk kodeanalysemotor som lar brukere spørre kode «som om det var data», og det var dette verktøyet som tillot teamet å finne en alvorlig feil i TIPC-modulprosjektet.
Ifølge forskerne ble det avdekket et heap-overflow-sårbarhet som kunne utnyttes enten lokalt eller eksternt for å få privilegier på kjernenivå, “som lar en angriper ikke bare kompromittere en enkelt tjeneste, men hele systemet i seg selv.”
SentinelOne fant en funksjon introdusert i september 2020 som en del av TIPC-modulens veikart, en ny brukermeldingstype kalt MSG_CRYPTO, var kilden til problemet.
Mens modulen korrekt validerer meldings- og topptekststørrelser mot mottatte pakkelengder, er det mangel på validering for nøkkellen-medlemmet til MSG_CRYPTO-meldingen og størrelsen på nøkkelalgoritmenavn.
“Dette betyr at en angriper kan lage en pakke med en liten kroppsstørrelse for å tildele heap-minne, og deretter bruke en vilkårlig størrelse i keylen-attributtet for å skrive utenfor grensene,” forklarte forskerne. “Denne sårbarheten kan utnyttes både lokalt og eksternt.”
“Selv om lokal utnyttelse er enklere på grunn av større kontroll over objektene som er tildelt i kjernehaugen, kan ekstern utnyttelse oppnås takket være strukturene som TIPC støtter.”
Sikkerhetsfeilen påvirker kjerneversjon 5.10.
Det er foreløpig ingen bevis for misbruk i naturen, og det bør også bemerkes at mens modulen er inkludert i store distribusjoner, må den lastes inn for at protokollen skal aktiveres — og så bare bygg med denne funksjonen aktiv kan være sårbare for utnyttelse.
SentinelOne rapporterte feilen til Kernel.org-teamet 19. oktober. En oppdatering ble ferdigstilt av modulens vedlikeholdere innen 21. oktober og utgitt på lore.kernel.org fire dager senere. Reparasjonen er nå også lagt til hovedlinjedepotet, utgitt 29. oktober under versjon 5.15.
Tidligere og relatert dekning
FontOnLake malware rammer Linux-systemer i målrettede angrep
Linux Foundation legger til programvareforsyningskjedesikkerhet til LFX
Microsoft angrer sin åpen kildekode .NET-tabbe
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Linux | Sikkerhets-TV | Databehandling | CXO | Datasentre