FERRAMENTAS LINUX: O Linux chega com correção para um bug de desvio de bloqueio trivial

quinta-feira, 21 de julho de 2022

O Linux chega com correção para um bug de desvio de bloqueio trivial

 

Confira !!

Mesclado ontem a tarde para o kernel principal do Linux 5.19 Git e definido para back-porting é uma correção para um novo bug de segurança. A Oracle tornou público o CVE-2022-21505 na terça-feira como um desvio trivial para o modo de bloqueio do kernel Linux.

O módulo de segurança Linux Lockdown é usado com mais frequência com o UEFI Secure Boot, mas também pode ser usado fora do Secure Boot se quiser evitar kernels não confiáveis ​​do Kexec. O Lockdown LSM foi introduzido há alguns anos para impedir o acesso direto e indireto a uma imagem de kernel em execução para evitar modificações não autorizadas/não intencionais. O modo Lockdown tem como objetivo evitar Kexec'ing em um kernel alternativo, bloqueia o acesso a interfaces como /dev/mem e coloca outras restrições. O modo de bloqueio é usado ao executar o UEFI Secure Boot, mas também possui casos de uso fora dele.

Os engenheiros da Oracle descobriram que o modo de bloqueio pode ser facilmente ignorado se executado no modo de avaliação IMA (Integrity Measurement Architecture) com a opção "ima_appraise=log". Para aqueles que usam o Lockdown LSM sem Secure Boot ativo, foi bastante fácil derrotá-lo:

Para anular o bloqueio, inicialize sem o Secure Boot e adicione ima_appraise=log à linha de comando do kernel; então:

$ echo "integridade" > /sys/kernel/security/lockdown

$ echo "appraise func=KEXEC_KERNEL_CHECK appraise_type=imasig" > /sys/kernel/security/ima/policy

$ kexec -ls unsigned-kernel


Fácil assim. Felizmente, apenas um patch de kernel de três linhas pode ser usado para resolver esse desvio de bloqueio.


O patch foi mesclado ontem ao Git do Kernel  Linux 5.19 e está definido para ser portado de volta para a série estável do kernel. Esse bug está presente nas compilações do kernel do Linux desde 2019.






Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário