当前位置:首页 > 漏洞预警 > 正文

Linux kernel eBPF本地权限提升漏洞(CVE-2021-3490)预警

发布时间:2021-08-03 21:00:31,来源:北京奇虎科技有限公司

      一、 基本情况

近日,有关Linux kernel eBPF本地权限提升漏洞(CVE-2021-3490)的技术细节,以及适用于Ubuntu 20.10和21.04的漏洞利用代码(POC)已在互联网上公开。本地攻击者可利用该漏洞在目标Ubuntu机器上提升权限。目前厂商已修复该漏洞,建议受影响用户尽快更新至安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

Extended Berkeley Packet Filter(eBPF)是一种内核技术(从Linux 4.x开始),允许程序运行而无需改变内核源代码或添加额外的模块。它是Linux内核中的一种轻量级沙盒虚拟机 (VM),程序员可以在其中运行利用特定内核资源的BPF字节码。

该漏洞是由于Linux内核中按位操作(AND、OR 和 XOR)的eBPF ALU32边界跟踪未能正确更新32位边界,造成Linux内核中的越界读取和写入,从而导致任意代码执行。本地攻击者可以利用该漏洞实现本地权限提升或拒绝服务。

      四、 影响范围

Linux kernel < v5.10.37

Linux kernel < v5.11.21

Linux kernel < v5.12.4

Linux kernel < v5.13-rc4

      五、 安全建议

目前厂商已修复该漏洞,建议及时更新至Linux kernel v5.13-rc4或更高版本。

下载链接:

https://www.kernel.org/

      六、 参考链接

https://ubuntu.com/security/CVE-2021-3490

https://securityaffairs.co/wordpress/120688/hacking/cve-2021-3490-linux-kernel-bug.html?

https://github.com/chompie1337/Linux_LPE_eBPF_CVE-2021-3490

https://www.graplsecurity.com/post/kernel-pwning-with-ebpf-a-love-story