ClickCease Les correctifs pour CVE-2021-33909 sont livrés

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Les correctifs pour CVE-2021-33909 sont en cours de livraison [UPDATE #3 27/07].

21 juillet 2021 - L'équipe de relations publiques de TuxCare

CVE-2021-33909 a été divulgué le 20 juillet. Elle décrit une vulnérabilité dans la couche système de fichiers de Linux qui peut conduire à une élévation locale des privilèges lorsqu'elle est exploitée avec succès. Le code vulnérable a apparemment été introduit dans un commit datant de juillet 2014 (Linux 3.16). Chaque distribution exécutant cette version ou toute autre version ultérieure est vulnérable à ce problème, avec du code Proof-of-Concept pour plusieurs distributions courantes déjà créé.

KernelCare de TuxCare est en train de finaliser les correctifs pour toutes les distributions supportées et affectées, et les abonnés commenceront à les recevoir très bientôt.

[MISE À JOUR] Des correctifs sont maintenant disponibles pour les distributions Linux suivantes :

  • CloudLinux 6h et 7
  • OEL 6, 7 et 8
  • RHEL 6, 7 et 8
  • CentOS 6, 6-plus, 7 et 8
  • AlmaLinux 8
  • Ubuntu Bionic, Focal et Xenial
  • SL 6
  • openVZ

[MISE À JOUR #2] Les distributions suivantes ont également des correctifs en cours de livraison :

  • CloudLinux 8
  • Debian 8, 9
  • OEL6-uek4, OEL7-uek4, OEL7-uek5, OEL7-uek6, OEL8-uek6

[MISE À JOUR #3] Les distributions suivantes sont maintenant également livrées :

  • Debian 10, Debian 10-cloud

Approfondissons cette vulnérabilité pour comprendre comment elle représente un chemin exploitable vers la racine pour pratiquement toutes les distributions.

Du point de vue d'un attaquant, ce problème est exploitable en créant une structure de répertoire (très) profonde, puis en la montant et en la supprimant. En effectuant ces actions, il est possible d'écrire une valeur spécifique dans un tampon du noyau qui est autrement inaccessible aux utilisateurs ordinaires.

Donc, à ce stade, l'attaque n'a qu'un effet de corruption de mémoire. Pour transformer cela en une élévation de privilèges, l'attaquant devrait charger un morceau de code apparemment innocent et spécialement conçu. Par exemple, un filtre BPF (un emplacement particulièrement actif où les vulnérabilités sont trouvées) pourrait passer toutes les vérifications normales effectuées par le noyau mais être conçu de telle sorte que, lorsque la corruption de la mémoire se produit, le code du filtre BPF soit légèrement modifié. Cela lui permettrait d'appeler des fonctions spécifiques du noyau, normalement inaccessibles au code d'un utilisateur normal.

Bien que la méthode d'attaque soit alambiquée, un code d'exploitation réussi est déjà disponible, fournissant un exploit clé en main pour cette vulnérabilité. Vous pouvez voir l'exploit PoC en action ici. On s'attend à ce que ce code, ou une variante de celui-ci, atteigne les cadres d'exploitation couramment disponibles dans les jours ou les semaines à venir, ce qui en fait un moyen trivial d'accéder à la racine d'un système vulnérable.

Dans le noyau, le code à l'origine de ce comportement peut être attribué à une variable entière 64 bits non signée spécifique qui est transformée, par un chemin de code spécifique, en un entier 32 bits. Une valeur qui pourrait s'adapter à la variable 64 bits d'origine provoque alors un dépassement de capacité dans la variable de taille inférieure, ce qui déclenche le problème.

Selon le rapport CVE, la faille a été introduite par le commit 058504ed ("fs/seq_file : fallback to vmalloc allocation") en juillet 2014 et est présente dans toutes les versions du noyau depuis 3.16. Des distributions comme Ubuntu 20.04, 20.10 et 21.04, ainsi que Debian 11 et Fedora 34, se sont déjà révélées vulnérables, et on s'attend à ce que toutes les autres distributions exécutant n'importe quelle version du noyau des 7 dernières années soient également sensibles à cette vulnérabilité.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information