Mesclado ontem a tarde para o kernel principal do Linux 5.19 Git e definido para back-porting é uma correção para um novo bug de segurança. A Oracle tornou público o CVE-2022-21505 na terça-feira como um desvio trivial para o modo de bloqueio do kernel Linux.
O módulo de segurança Linux Lockdown é usado com mais frequência com o UEFI Secure Boot, mas também pode ser usado fora do Secure Boot se quiser evitar kernels não confiáveis do Kexec. O Lockdown LSM foi introduzido há alguns anos para impedir o acesso direto e indireto a uma imagem de kernel em execução para evitar modificações não autorizadas/não intencionais. O modo Lockdown tem como objetivo evitar Kexec'ing em um kernel alternativo, bloqueia o acesso a interfaces como /dev/mem e coloca outras restrições. O modo de bloqueio é usado ao executar o UEFI Secure Boot, mas também possui casos de uso fora dele.
Os engenheiros da Oracle descobriram que o modo de bloqueio pode ser facilmente ignorado se executado no modo de avaliação IMA (Integrity Measurement Architecture) com a opção "ima_appraise=log". Para aqueles que usam o Lockdown LSM sem Secure Boot ativo, foi bastante fácil derrotá-lo:
Para anular o bloqueio, inicialize sem o Secure Boot e adicione ima_appraise=log à linha de comando do kernel; então:
$ echo "integridade" > /sys/kernel/security/lockdown
$ echo "appraise func=KEXEC_KERNEL_CHECK appraise_type=imasig" > /sys/kernel/security/ima/policy
$ kexec -ls unsigned-kernel
Fácil assim. Felizmente, apenas um patch de kernel de três linhas pode ser usado para resolver esse desvio de bloqueio.
O patch foi mesclado ontem ao Git do Kernel Linux 5.19 e está definido para ser portado de volta para a série estável do kernel. Esse bug está presente nas compilações do kernel do Linux desde 2019.
Até a próxima !!
Nenhum comentário:
Postar um comentário