关于我们 | 联系我们

亚博APP - 安全有保障

当前位置:主页 > 产品展示 > 产品一类 >

‘亚博app’ CVE-2020-27194:eBPF提权

本文摘要:陈诉编号:B6-2020-110302陈诉泉源:360-CERT陈诉作者:360-CERT更新日期:2020-11-030x01 毛病配景2020年11月01日, 360CERT监测到外洋宁静研究人员simon 通过fuzz 在Linux 内核的ebpf模块中发现一个越界读写的毛病,可导致权限提升,CVE编号: CVE-2020-27194。该毛病是由于eBPF验证法式中举行or操作时未正确盘算寄存器规模,进而引发越界读取和写入。

亚博app

陈诉编号:B6-2020-110302陈诉泉源:360-CERT陈诉作者:360-CERT更新日期:2020-11-030x01 毛病配景2020年11月01日, 360CERT监测到外洋宁静研究人员simon 通过fuzz 在Linux 内核的ebpf模块中发现一个越界读写的毛病,可导致权限提升,CVE编号: CVE-2020-27194。该毛病是由于eBPF验证法式中举行or操作时未正确盘算寄存器规模,进而引发越界读取和写入。

该毛病存在于5.8.x 内核分支,现在有部门刊行版使用了此分支,如Fedora 33 和 Ubuntu 20.10。2020年11月03日,360CERT对该毛病举行了详细分析,并完成毛病使用。0x02 风险品级360CERT对该毛病的评定效果如下0x03 影响版本影响 5.8.x 版本及以上的Linux 内核分支影响应用该分支的刊行版:Fedora 33 、Ubuntu 20.100x04 情况搭建(1)下载源码git clone https://github.com/torvalds/linux.gitgit checkout 5b9fbeb75b6a98955f628e205ac26689bcb1383e~15b9fbeb75b6a98955f628e205ac26689bcb1383e 为修复毛病的补丁,我们将分支切换到前一个补丁(2)编译内核make defaultmake menuconfigmake -j8关闭随机化,开启调试信息和ebpf选项Processor type and features ---> [ ] Randomize the address of the kernel image (KASLR) Kernel hacking ---> Compile-time checks and compiler options ---> [*] Compile the kernel with debug infoGeneral setup ---> [*] Enable bpf() system call 0x05 毛病分析5.1 eBPF 先容eBPF是extended Berkeley Packet Filter的缩写。

亚博app

起初是用于捕捉和过滤特定规则的网络数据包,现在也被用在防火墙,宁静,内核调试与性能分析等领域。eBPF法式的运行历程如下:在用户空间生产eBPF“字节码”,然后将“字节码”加载进内核中的“虚拟机”中,然后举行一些列检查,通过则能够在内核中执行这些“字节码”。类似Java与JVM虚拟机,可是这里的虚拟机是在内核中的。bpf法式的执行流程如下图:5.2 毛病成因毛病点在scalar_min_max_or()函数:static void scalar32_min_max_or(struct bpf_reg_state *dst_reg, struct bpf_reg_state *src_reg){ bool src_known = tnum_subreg_is_const(src_reg->var_off); bool dst_known = tnum_subreg_is_const(dst_reg->var_off); struct tnum var32_off = tnum_subreg(dst_reg->var_off); s32 smin_val = src_reg->smin_value; u32 umin_val = src_reg->umin_value; /* Assuming scalar64_min_max_or will be called so it is safe * to skip updating register for known case. */ if (src_known && dst_known) return; /* We get our maximum from the var_off, and our minimum is the * maximum of the operands' minima */ dst_reg->u32_min_value = max(dst_reg->u32_min_value, umin_val); dst_reg->u32_max_value = var32_off.value | var32_off.mask; if (dst_reg->s32_min_value < 0 || smin_val < 0) { /* Lose signed bounds when ORing negative numbers, * ain't nobody got time for that. */ dst_reg->s32_min_value = S32_MIN; dst_reg->s32_max_value = S32_MAX;。


本文关键词:‘,亚博,app,’,CVE-2020-27194,eBPF,提权,陈诉,编号,亚博app安全有保障

本文来源:亚博app-www.sdhhmy66.com

Copyright © 2004-2021 www.sdhhmy66.com. 亚博app科技 版权所有 备案号:ICP备84433998号-2