Confira !!
O kernel do Linux 4.19 trouxe a capacidade de desautorizar a abertura de FIFOs e arquivos regulares que não são de propriedade do usuário em diretórios colando graváveis em nome da segurança. Se essa habilidade tivesse existido anteriormente, poderia ter evitado que um número de CVEs voltasse por muito tempo. Para ajudar a garantir que essa funcionalidade seja utilizada, o Systemd 241 agora definirá essas opções de sysctl para ativar o comportamento por padrão.
O O_CREAT restrito de FIFOs e arquivos regulares não é reforçado pelo kernel por padrão, pois pode ser considerado uma mudança de quebra, mas com systemd 241+ ele define o fs.protected_regular e fs.protected_fifossysctls para habilitado por ter a funcionalidade mencionada, semelhante à imposição de proteção hardlink / symlink do systemd. Essa proteção é para evitar gravações não intencionais em um FIFO controlado por um invasor ou em um arquivo normal. Esse kernel do Linux 4.19 confirma pelo menos um punhado de vulnerabilidades de segurança que poderiam ter sido evitadas por essa funcionalidade, com os CVEs voltando para pelo menos o ano 2000.
Ativar essas novas opções de sysctl ocorridas por este sistema confirmam na quarta-feira. A mudança será encontrada na release systemd 241 juntamente com as correções "system down" . Naturalmente, você sempre pode definir esses valores de sysctl manualmente (no kernel Linux 4.19+), independentemente da versão do systemd, se desejar esse nível de proteção hoje.
Fonte
Até a próxima!!
Nenhum comentário:
Postar um comentário