趋势科技旗下实验室Zero Day Initiative(ZDI)上周披露Linux核心一个可让攻击者执行远程程序代码、风险值达到满分10的重大漏洞,呼吁管理员应立即安装修补程序。
ZDI今年7月一共发现Linux核心5项漏洞,其中4项影响Linux核心的Server Message Block(SMB)server组件ksmbd,另一项则影响CIFS。其中最严重的漏洞编号CVE-2022-47939属于使用已释放内存(use after free)漏洞,发生在fs/ksmbd/smb2pdu.c组件处理SMB2_TREE_DISCONNECT指令过程时,未能在执行指令运行前验证对象是否真的存在,让未经验证的攻击者得以在Linux核心执行任意程序代码,被列为CVSS 3.1最高的10分。
这项漏洞影响Linux 5.15.61版本以前5.15.x版本核心。此外,只有已打开ksmbd的Linux环境才受影响。
此外,其他和ksmbd有关的漏洞还包括CVE-2022-47940、CVE-2022-47941、CVE-2022-47942及CVE-2022-47938。其中CVE-2022-47940为其中smb2pdu.c未能验证用户送入smb2_write的资料,导致攻击者越界读取。风险值也高达9.6。
CVE-2022-47942则是set_ntacl_dacl文件的堆积缓冲溢出攻击漏洞,来自攻击者输入改造过的SMB2_SET_INFO_HE指令导致内存毁损,风险值8.5。
另二个则为中度风险漏洞。CVE-2022-47941为smb2pdu.c未能检查特定smb2_handle_negotiate的错误条件,导致内存内容外泄,风险值为5.3。CVE-2022-47938则是CIFS文件系统处理指令过程中欠缺对用户资料的验证,可导致拒绝服务攻击(Denial of Service,DoS),风险值为6.5。
Linux维护单位呼吁用户及管理员,应尽快升级至5.19.2以后版本的核心以降低风险。
任何使用5.15核心以前的Linux发行版都有可能受影响,RedHat指出,RedHat及OpenShift都未包含ksmbd漏洞。但CVE-2022-47938对RHEL 8、9有轻度影响。Ubuntu则列出了受影响的版本清单,包括Ubuntu 22.04及以后版本。