GameOver(lay)：权限提升漏洞影响40% Ubuntu用户

Ubuntu OverlayFS模块权限提升漏洞影响40% Ubuntu用户。

OverlayFS是一个面向Linux的文件系统服务，实现一个面向其他文件系统的联合挂载。Ubuntu是Linux使用最广泛的发行版本，用户数超过4000万。Ubuntu是使用OverlayFS的Linux发行版之一，在2018年对OverlayFS模块进行了定制化开发。Wiz研究人员在Ubuntu kernel OverlayFS模块中发现了2个本地权限提升漏洞，漏洞CVE编号为CVE-2023-2640和CVE-2023-32629。

CVE-2023-2640是Linux kernel中的高危漏洞，CVSS评分7.8分，是由于权限检查不当引起的，本地攻击者利用该漏洞可以实现权限提升。漏洞影响Ubuntu 23.04 (Lunar Lobster)    6.2.0、Ubuntu 22.10 (Kinetic Kudu) 5.19.0、Ubuntu 22.04 LTS (Jammy Jellyfish) 5.19.0、6.2.0版本。

CVE-2023-32629 是Linux kernel内存管理子系统中的中危漏洞，CVSS评分5.4分。是访问VMA时的竞争条件引发的安全漏洞，可能引发释放后使用。攻击者利用该漏洞可以实现任意代码执行。漏洞影响Ubuntu 23.04 (Lunar Lobster)       6.2.0、Ubuntu 22.10 (Kinetic Kudu) 5.19.0、Ubuntu 22.04 LTS (Jammy Jellyfish) 5.19.0、6.2.0，Ubuntu 20.04 LTS (Focal Fossa) 5.4.0、Ubuntu 18.04 LTS (Bionic Beaver) 5.4.0版本。

由于允许用户命名空间越权访问、漏洞利用等原因，OverlayFS曾多次成为被攻击的目标。Ubuntu是使用OverlayFS的Linux发行版之一，在2018年对OverlayFS模块进行了定制化开发，一般认为是安全的。但在2019年和2022年，Linux kernel项目对该模块做了修改，而这与Ubuntu的定制化开发存在冲突。

Ubuntu采用了包含这些新修改的Linux kernel代码，这与Ubuntu定制存在冲突从而引发了这2个漏洞。但这两个漏洞被利用的可能性很小。

由于漏洞是来源于OverlayFS模块，因此只影响Ubuntu kernel。其他未使用OverlayFS模块的Ubuntu版本不受该漏洞的影响。目前，Ubuntu已发布了漏洞的补丁更新。用户可以通过安装更新来缓解漏洞带来的更新。需要注意的是在Ubuntu系统上，Linux kernel安装更新后需要重启才能生效。

完整技术分析参见：https://www.wiz.io/blog/ubuntu-overlayfs-vulnerability

参考及来源：https://www.bleepingcomputer.com/news/security/almost-40-percent-of-ubuntu-users-vulnerable-to-new-privilege-elevation-flaws/