EBPF介绍
简述概括, eBPF 是一套通用执行引擎,提供了可基于系统或程序事件高效安全执行特定代码的通用能力,通用能力的使用者不再局限于内核开发者;eBPF 可由执行字节码指令、存储对象和 Helper 帮助函数组成,字节码指令在内核执行前必须通过 BPF 验证器 Verfier 的验证,同时在启用 BPF JIT 模式的内核中,会直接将字节码指令转成内核可执行的本地指令运行。
同时,eBPF 也逐渐在观测(跟踪、性能调优等)、安全和网络等领域发挥重要的角色。Facebook、NetFlix 、CloudFlare 等知名互联网公司内部广泛采用基于 eBPF 技术的各种程序用于性能分析、排查问题、负载均衡、防范 DDoS 攻击,据相关信息显示在 Facebook 的机器上内置一系列 eBPF 的相关工具。
影响版本
linux内核 5.8 - 5.16
修复版本
linux内核 5.10.92 / 5.15.15 / 5.16.1
漏洞复现
git clone https://github.com/tr3ee/CVE-2022-23222.gitcd CVE-2022-23222/make
EXP信息
github地址:https://github.com/tr3ee/CVE-2022-23222
漏洞原理介绍:https://tr3e.ee/posts/cve-2022-23222-linux-kernel-ebpf-lpe.txt
原文始发于微信公众号(yougar0x00的赛博时空):CVE-2022-23222-linux内核EBPF本地提权漏洞本地复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论