Всё ещё не спешите обновлять ядра?

Greey · #1

Работающие на ядре 5.3 ... 5.5 в Ubuntu Linux рискуют потерять систему из-за уязвимости CVE-2020-8835, которая позволяет непривилегированному пользователю получить права root. Уязвимость находится в подсистеме eBPF. Проблема вызвана ошибкой в функции __reg_bound_offset32(), применяемой для проверки 32-разрядных операций в байткоде BPF. Из-за неверного расчёта границ регистра при обработке специально оформленных BPF-приложений возникает условие для записи и чтения данных вне выделенного буфера в области памяти ядра.

#2

Насколько мне удалось понять, уязвимость приводит к тому, что возникают условия для записи и чтения данных вне выделенного буфера в области памяти ядра. Может быть это критично для хостов, которые смотрят в мир по выделенному IP-адресу и на них крутятся какие-нибудь СУБД, веб-сервисы или ещё что-либо. Пока мне не ясно, как злоумышленник собирается эксплуатировать эту уязвимость на моей системе, которая на тремя NAT: провайдер - роутер от провайдера (+ firewall) - мой роутер (+ firewall), который между роутером провайдера и локальной сетью, мне пока не ясно.
Как пишут на opennet, для блокирования уязвимости рекомендовано откатить проблемный патч или запретить выполнение BPF-приложений непривилегированными пользователями через установку sysctl kernel.unprivileged_bpf_disabled в значение 1. Статус исправления в дистрибутивах: Ubuntu, Debian, Arch, Fedora и SUSE (в ядра RHEL проблемное изменение не переносилось). Насколько понимаю, для реализации второго способа мне достаточно в файл sysctl.conf добавить строку kernel.unprivileged_bpf_disabled = 1 Или ошибаюсь?

warning · #3

Greey писал(а): ↑
13 окт 2021, 19:34
уязвимости CVE-2020-8835

а подревнее ничего не нашел ?

полтора года уж как прошло

#4

Greey писал(а): ↑
13 окт 2021, 19:34
Работающие на ядре 5.3 ... 5.5 в Ubuntu Linux рискуют потерять систему из-за уязвимости CVE-2020-8835

Эта уязвимость давно закрыта. За стоковый 5.3 только не скажу там EOL был давно (а ubuntu и производные живут не на стоковых ядрах, потому это их тоже не касается), а 5.4 (LTS), 5.5 и более новые уже давно запатчены. С чего именно сейчас кипишь по антиквариату?

Greey · #5

warning писал(а): ↑
14 окт 2021, 00:43
а подревнее ничего не нашел ?
полтора года уж как прошло

Для отдельных индивидуумов, коим лень было читать первые строки сообщения, поясняю, что оно написано для людей использующих ядро 5.3...5.5. Не все же такие super-ultra-mega-прыткие попрыгунчики как ты.

Многие и на старых ядрах работают. Если у тебя более новое - проходи мимо

и не засоряй тему.

#6

Greey писал(а): ↑
20 окт 2021, 17:27
для людей использующих ядро 5.3...5.5

Даже если кто-то использует эти ядра, и они переодически обновляют систему - они получили заплатки, т.к. Canonical сама поддерживает ядра и бэкпортирует заплатки, весь срок пока поддерживает ядро. Поддержка ядра Canonical сильно отличается от официальной поддержки ядра его разработчиками

#7

Greey, весь мир подвержен мелдонию и спектру и чё дальше? срочно выбрасывать все процы и создавать новые?

#8

Уязвимость закрыта — тема закрыта

Кто сейчас на конференции