Mientras escribo esto, ya existe un exploit desagradable que utiliza la última vulnerabilidad del kernel de Linux, Dirty Pipeline , para que cualquier J. Random Luser sobrescriba el campo de contraseña de root en /etc/passwd. Los expertos de LWN.net lo llamaron una " vulnerabilidad del kernel desconcertante". Lo llamo un problema de seguridad de "dispárame ahora".
Pero no hagamos eso, ¿de acuerdo? Aquí está el 411 en Dirty Pipeline, también conocido como CVE-2022-0847 . El programador y administrador de sistemas de alojamiento web Max Kellermann encontró el agujero de seguridad en 2021, pero al principio no estaba seguro de lo que estaba pasando. Después de mucha sangre, sudor, lágrimas e investigación, Kellermann localizó el problema en los cambios en el kernel de Linux que se volvieron críticos en Linux 5.8. Con esta actualización, escribió Kellermann, "se hizo posible sobrescribir datos en el caché de la página, simplemente escribiendo nuevos datos en la tubería preparada de una manera especial".
Se pone peor
Está bien, eso es malo. Pero hay mucho peor por venir. Kellermann descubrió que “para hacer que esta vulnerabilidad sea más interesante, no solo funciona sin permisos de escritura, sino que también funciona con archivos inmutables, en instantáneas btrfs de solo lectura y en montajes de solo lectura (incluidos los montajes de CD-ROM). Esto se debe a que la memoria caché de la página siempre se puede escribir (por el núcleo), y escribir en una canalización nunca verifica ningún permiso”.Si esto te suena débil, debería. El error de Linux Dirty Cow de 2016 tenía características similares. Pero, como observó Kellermann, “pero es más fácil de explotar”.
Puntuación más alta
Red Hat le otorga una calificación del Sistema de puntuación de vulnerabilidad común (CVSS) de 7.8. Eso es alto. Personalmente, estaría tentado a llamarlo peor que eso. Además de los exploits que ya existen, mientras leo el código y la excelente descripción paso a paso de Kellermann sobre cómo encontró Dirty Pipeline, estoy seguro de que hay otras formas de abusar de esta vulnerabilidad de seguridad.
Esto es lo que esto significa para ti. Cualquier distribución que use el kernel de Linux es vulnerable en las versiones 5.8 y posteriores. Eso significa que casi todas sus distribuciones de producción de Linux son vulnerables.
Buenas noticias, malas noticias
La buena noticia es que el equipo de seguridad del kernel de Linux solucionó la vulnerabilidad en Linux 5.16.11, 5.15.25 y 5.10.102. Por lo tanto, póngase a trabajar parcheando sus distribuciones de Linux lo antes posible.
La mala noticia es que a partir del lunes por la noche en la costa este de EE. UU., no todas las distribuciones han lanzado parches todavía. Por ejemplo, Red Enterprise Linux Server (RHEL) 8 puede ser atacado y Red Hat declara "Actualmente no hay mitigación disponible para esta falla". Lo mismo ocurre con las distribuciones recientes de Ubuntu .
Por lo general, en este punto del artículo, le diría que parchee su sistema operativo lo antes posible. Esta vez, les digo que mantengan un ojo de águila en sus sistemas para cualquier negocio extraño y que estén listos para parchear su Linux en el momento en que un parche esté disponible para su distribución.
O, si está preparado para el trabajo y cree que vale la pena arriesgarse a eliminar este problema, actualice las versiones de prueba de su sistema de producción con una actualización de kernel de bricolaje a 5.16.11, 5.15.25 o 5.10. 102. Si no se encuentra con ninguna regresión o error que detenga el espectáculo en su pila de software, puede intentar implementar su solución homebrew en producción hasta que su parche oficial esté disponible.
Fuente: thenewstack | somoslibres
