江蘇
關鍵詞
漏洞
安全研究人員披露了 Linux 內核中一個尚未修復的新漏洞,代號為 “Dirty Frag”。該漏洞可讓無特權的本地用戶在大多數主流 Linux 發行版上獲取完全的 root 權限,這些發行版包括 Ubuntu、紅帽企業 Linux(RHEL)、Fedora、AlmaLinux 和 CentOS Stream。
“Dirty Frag” 與 “Dirty Pipe” 系列漏洞相關,但獨立于 “復制失敗”(Copy Fail)緩解措施,這意味著已應用 algif_aead 黑名單的系統仍完全暴露在風險中。
相關公告稱:“(該漏洞)通過串聯 xfrm - ESP 頁面緩存寫入漏洞和 RxRPC 頁面緩存寫入漏洞,可在主流 Linux 發行版上獲取 root 權限。‘Dirty Frag’擴展了‘Dirty Pipe’和‘復制失敗’所屬的漏洞類別。由于這是一個確定性邏輯漏洞,不依賴時間窗口,無需競爭條件,漏洞利用失敗時內核也不會崩潰,成功率非常高。”
研究人員玄宇?金(Hyunwoo Kim,推特賬號 @v4bel)最先披露了該漏洞。
該漏洞串聯了兩個不同的缺陷。第一個是 xfrm - ESP 頁面緩存寫入漏洞,源于 Linux IPsec 子系統,在 2017 年 1 月的一次源代碼提交中引入,同一提交還導致了 CVE - 2022 - 27666 漏洞,這是一個影響多個 Linux 發行版的緩沖區溢出漏洞。第二個是 RxRPC 頁面緩存寫入漏洞,于 2023 年 6 月引入。單獨來看,這兩個缺陷并非在所有系統上都能起作用,但它們相互彌補了彼此的盲點:當某條路徑因環境因素(如 Ubuntu 的 AppArmor 對命名空間創建的限制)被阻斷時,另一條路徑則會打開。這種串聯使得 “Dirty Frag” 在各種發行版上都具有普遍危險性。
分析報告指出:“這兩個漏洞的共同之處在于,在零拷貝發送路徑中,splice () 函數將攻擊者僅有讀權限的頁面緩存頁的引用,按原樣植入發送方套接字緩沖區(skb)的片段槽中,接收方內核代碼會在該片段上進行就地加密。結果,無特權用戶僅有讀權限的文件的頁面緩存在內存中被修改,后續每次讀取都會看到修改后的副本。”
“Dirty Frag” 尤其危險之處在于其可靠性。與許多依賴精確時間窗口或競爭條件的內核漏洞利用不同,這是一個確定性邏輯漏洞。漏洞利用失敗時不會導致內核崩潰,且成功率極高。一個可用的概念驗證代碼已公開,將利用過程簡化為一條命令。
該漏洞的披露過程較為復雜:在第三方未經協調就發布詳細技術信息和漏洞利用代碼后,禁令提前解除。目前該漏洞尚未分配 CVE 編號。
報告總結稱:“將這兩個變體串聯起來,盲點相互覆蓋。在允許創建用戶命名空間的環境中,ESP 漏洞利用首先運行。相反,在 Ubuntu 系統中,雖然用戶命名空間創建被阻止,但 rxrpc.ko 模塊已構建,RxRPC 漏洞利用就能起作用。”
在官方補丁發布之前,建議的解決方法是將 esp4、esp6 和 rxrpc 內核模塊列入黑名單,阻止它們加載。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
