漏洞名称:
Linux Kernel ebpf 权限提升漏洞
组件名称:
Linux Kernel
影响范围:
5.8 ≤ Linux Kernel ≤ 5.16
(Linux Kernel 5.10.92,5.15.15,5.16.1 不受影响)
漏洞类型:
权限提升
利用条件:
1、用户认证:低权限用户
2、前置条件:服务器安装 gcc,配置允许低权限用户使用 ebpf
3、触发方式:本地
综合评价:
<综合评定利用难度>:较高,前置条件较为严苛。
<综合评定威胁等级>:高危,能获取 root 权限。
漏洞分析
组件介绍
Linux Kernel 是美国 Linux 基金会发布的开源操作系统 Linux 所使用的内核。Linux 内核是一种开源的类Unix 操作系统宏内核。整个 Linux 操作系统家族基于该内核部署在传统计算机平台(如个人计算机和服务器)。
漏洞简介
近日,深信服安全团队监测到一则 Linux Kernel 组件存在权限提升漏洞的信息,漏洞编号:CVE-2022-23222,漏洞威胁等级:高危。
该漏洞是由于 Linux 内核的 BPF 验证器存在一个空指针漏洞,没有对 *_OR_NULL 指针类型进行限制,允许这些类型进行指针运算。攻击者可利用该漏洞在获得低权限的情况下,构造恶意数据执行空指针引用攻击,最终获取服务器 root 权限。
影响范围
Linux Kernel 用于绝大部分服务器和物联网设备的内核,有众多发行版系统,在世界范围内应用十分广泛。可能受漏洞影响的资产广泛分布于世界各地,在国内主要应用于浙江、江苏、广东、上海、北京等地区。此漏洞危险性高,但是需要低权限用户和 gcc 编译器等先决条件,综合影响力很大。
目前受影响的 Linux Kernel 版本:
5.8 ≤ Linux Kernel ≤ 5.16
(Linux Kernel 5.10.92, 5.15.15, 5.16.1 版本不受影响)
解决方案
1.如何检测组件系统版本
在终端执行以下命令:
uname -a
回显中即为系统内核版本。
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.kernel.org/
3.临时修复建议
此方法存在一定风险,请各位用户在做好备份的情况下,在测试环境先行使用。
可通过禁止非 root 用户使用 ebpf 的方式进行临时缓解。命令:
sudo sysctl kernel.unprivileged_bpf_disabled=2
注意:部分系统执行此命令可能报错,若如此则无法使用此方法缓解,请更新内核版本。
时间轴
2022/6/14
深信服监测到 Linux Kernel 权限提升漏洞信息。
2022/6/14
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Linux Kernel ebpf权限提升漏洞 CVE-2022-23222
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论