Исправление сейчас: обнаружена серьезная дыра в безопасности ядра Linux

Инициатива «Zero Day Initiative» первоначально оценила этот SMB-сервер Linux 5.15, ksmbd, как ошибку, на совершенно ужасную 10-ку.

Именно то, чего хочет каждый системный администратор Linux перед праздниками: серьезная ошибка безопасности ядра Linux. Zero Day Initiative (ZDI), исследовательская фирма нулевого дня в области безопасности, объявила о новой ошибке безопасности ядра Linux. Эта дыра позволяет прошедшим проверку подлинности удаленным пользователям раскрывать конфиденциальную информацию и запускать код на уязвимых версиях ядра Linux.

Насколько плохо? Первоначально ZDI присвоил ему 10 баллов по общей шкале оценки уязвимостей (CVSS) от 0 до 10. Теперь дырка "всего" 9,6. Это по-прежнему считается «Исправьте! Исправьте сейчас!» ошибка на любом сервере Linux.

Проблема заключается в сервере блоков сообщений сервера (SMB) ядра Linux 5.15, ksmbd. Конкретная ошибка существует при обработке команд SMB2_TREE_DISCONNECT . Проблема возникает из-за отсутствия проверки существования объекта перед выполнением операций с ним. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте ядра.

Эта новая программа, представленная в ядре в 2021 году, была разработана компанией Samsung. Его цель заключалась в обеспечении высокой производительности обслуживания файлов SMB3. SMB используется в Windows и Linux через Samba в качестве жизненно важного протокола файлового сервера. Ksmbd предназначен не для замены Samba, а для ее дополнения. Разработчики Samba и ksmbd работают над согласованной работой программ.

Тем не менее, Джереми Эллисон, один из создателей Samba, отмечает: «ksmbd не имеет общего кода с производственной Samba. Он создан полностью с нуля. Таким образом, нынешняя ситуация не имеет ничего общего с файловым сервером Samba, который вы, возможно, используете в своих системах».

Любой дистрибутив, использующий ядро Linux 5.15 или выше, потенциально уязвим. Сюда входят Ubuntu 22.04 и ее потомки, а также Deepin Linux 20.3. Для серверных целей наиболее интересен Ubuntu. Другие корпоративные дистрибутивы, такие как семейство Red Hat Enterprise Linux (RHEL), не используют ядро 5.15. Не уверен? Просто беги:

$имя -р

Чтобы узнать, какую версию ядра вы используете.

Затем, если вы используете уязвимое ядро, чтобы увидеть, присутствует ли уязвимый модуль и активен, запустите:

$модинфо ксмб

Вы хотите увидеть, что модуль не найден. Если он загружен, вам потребуется обновить ядро Linux до версии 5.15.61. К сожалению, многие дистрибутивы еще не перешли на эту версию ядра.

Некоторые люди задавались вопросом: если это так важно, то почему ему не присвоен номер общих уязвимостей и подверженностей (CVE)? Грег Кроа-Хартманн, специалист по сопровождению стабильной ветки ядра Linux, объяснил: «Разработчики ядра вообще не работают с CVE, поскольку по большей части они не так уж важны для решения проблем ядра». Правда, «некоторые Linux-компании по-прежнему настаивают на назначении CVE, но это в первую очередь для того, чтобы облегчить их внутренние процессы разработки».

Другие обеспокоены тем, что такая проблема может существовать в первую очередь в программе ядра. Как выразился один человек на Ycombinator, это «кажется весьма значительной (внешней) поверхностью атаки, которую можно добавить к ядру». Он не ошибается. Реализации Windows SMB имеют долгую и ужасную историю безопасности. Например, в 2020 году SMBGhost, также известный как CoronaBlue, открыл ПК с Windows 10 для атак безопасности SMB.

Не только посторонние обеспокоены безопасностью ksmbd. Перед этим эпизодом Кис Кук, старший разработчик безопасности ядра Linux, написал: «Некоторые из этих недостатков представляют собой довольно фундаментальные свойства безопасности файловой системы, которые не проверялись, за исключением неприятного случая переполнения буфера на сервере файловой системы внутри ядра. ." Кук заключил: «Меня беспокоит качество кода, и я думаю, что нужно что-то изменить в процессах проверки и тестирования».

Исправления были внесены, но этот последний эпизод показывает, что код нуждается в дополнительной очистке и защите, прежде чем я, например, буду готов доверить ему работу. Было бы разумно пока исправить ядро и пока воздержаться от его использования в пользу Samba.