一、漏洞概述
近日,绿盟科技CERT监测到有研究人员公开披露了eBPF中的一个任意代码执行漏洞(CVE-2021-3490)的细节信息和PoC,并演示利用此漏洞在Ubuntu 20.10 和 21.04上实现本地权限提升,该漏洞是由于Linux内核中按位操作(AND、OR 和 XOR)的 eBPF ALU32 边界跟踪没有正确更新 32 位边界,造成 Linux 内核中的越界读取和写入,从而导致任意代码执行。官方已于5月11号发布修复版本,请相关用户及时采取措施防护。
ExtendedBerkeley Packet Filter(eBPF)是一种内核技术(从Linux 4.x开始),允许程序运行而无需改变内核源代码或添加额外的模块。它是Linux内核中的一种轻量级的沙盒虚拟机(VM),可以在其中运行利用特定内核资源的BPF字节码。
参考链接:
https://www.openwall.com/lists/oss-security/2021/05/11/11
二、影响范围
受影响版本
- Linux kernel < 5.13-rc4
三、漏洞检测
- 版本检测
Linux系统用户可以通过查看版本来判断当前系统是否在受影响范围内,查看操作系统版本信息命令如下:
cat /proc/version
四、漏洞防护
- 官方升级
目前官方已在新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://www.kernel.org
方法一、通过升级Linux系统内核的方式进行防护。
下载链接:https://github.com/torvalds/linux/releases
方法二、Linux代码库已发布补丁,请相关用户尽快应用此补丁。
详细信息可参见:
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。