En kodeeksekveringssårbarhed er blevet rettet i TIPC-modulet i Linux-kernen.
TIPC-modulet (Transparent Inter Process Communication) er designet til at lette intra-cluster kommunikation på tværs af Ethernet- eller UDP-forbindelser og er i stand til at servicere adressering, sporing, styring af kommunikation mellem noder og mere.
Denne protokol er implementeret i en kernemodulpakke med større Linux-distros.
Torsdag sagde SentinelOne-forskere, at CodeQL for nylig er blevet brugt i fejljagtundersøgelser på open source-projekter. CodeQL er en semantisk kodeanalysemotor, der giver brugerne mulighed for at forespørge kode “som om det var data”, og det var dette værktøj, der gjorde det muligt for teamet at finde en alvorlig fejl i TIPC-modulprojektet.
Ifølge forskerne blev en heap overflow-sårbarhed afsløret, som kunne udnyttes enten lokalt eller eksternt for at opnå rettigheder på kerneniveau, “hvilket gør det muligt for en angriber ikke bare at kompromittere en enkelt tjeneste, men hele systemet selv.”
SentinelOne fandt en funktion introduceret i september 2020 som en del af TIPC-modulets køreplan, en ny brugermeddelelsestype kaldet MSG_CRYPTO, var kilden til problemet.
Mens modulet korrekt validerer meddelelses- og headerstørrelser i forhold til modtagne pakkelængder, mangler der validering for keylen-medlemmet i MSG_CRYPTO-meddelelsen og størrelsen af nøglealgoritmenavne.
“Det betyder, at en angriber kan oprette en pakke med en lille kropsstørrelse for at allokere heap-hukommelse og derefter bruge en vilkårlig størrelse i keylen-attributten til at skrive uden for grænserne,” forklarede forskerne. “Denne sårbarhed kan udnyttes både lokalt og eksternt.”
“Mens lokal udnyttelse er lettere på grund af større kontrol over de objekter, der er allokeret i kerneheapen, kan fjernudnyttelse opnås takket være de strukturer, som TIPC understøtter.”
Sikkerhedsfejlen påvirker kerneversion 5.10.
Der er i øjeblikket ingen beviser for in-the-wild misbrug, og det skal også bemærkes, at selvom modulet er inkluderet i større distributioner, skal det indlæses for at protokollen kan aktiveres — og så kun builds med denne funktion aktiv kan være sårbare over for udnyttelse.
SentinelOne rapporterede fejlen til Kernel.org-teamet den 19. oktober. En patch blev færdiggjort af modulets vedligeholdere den 21. oktober og udgivet på lore.kernel.org fire dage senere. Rettelsen er nu også blevet tilføjet til mainline repository, udgivet den 29. oktober under version 5.15.
Tidligere og relateret dækning
FontOnLake malware rammer Linux-systemer i målrettede angreb
Linux Foundation tilføjer softwareforsyningskædesikkerhed til LFX
Microsoft angrer sin open source .NET-bommert
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Linux | Sikkerheds-tv | Datastyring | CXO | Datacentre