Обход ограничений пользовательских пространств имен в Ubuntu: угрозы и решения
В Ubuntu обнаружены три способа обхода ограничений пользовательских пространств имен, что позволяет локальным пользователям без привилегий создавать пространства с полными административными возможностями. Эти обходы могут быть опасны в сочетании с уязвимостями ядра. Canonical работает над улучшением защиты AppArmor, но пока не считает эти обходы критическими уязвимостями. В статье рассмотрены методы обхода и рекомендации по защите системы.
Обход ограничений пользовательских пространств имен в Ubuntu: угрозы и решения
В последнее время в сообществе Linux обсуждается важная тема безопасности, связанная с обнаружением трех способов обхода ограничений пользовательских пространств имен в Ubuntu. Эти обходы позволяют локальным пользователям без привилегий создавать пространства имен с полными административными возможностями, что может привести к эксплуатации уязвимостей в компонентах ядра. В этой статье мы рассмотрим, какие методы обхода были обнаружены, какие версии Ubuntu подвержены этим проблемам и как Canonical планирует улучшить защиту.
Что такое пользовательские пространства имен?
Пользовательские пространства имен в Linux позволяют пользователям действовать как root внутри изолированного окружения (пространства имен) без обладания такими же привилегиями на хосте. Это полезно для тестирования и разработки, но также может быть использовано злоумышленниками для повышения привилегий.
Обнаруженные обходы
Исследователи из компании Qualys обнаружили три различных способа обхода ограничений, введенных в Ubuntu 23.10 и активированных по умолчанию в Ubuntu 24.04. Эти ограничения основаны на AppArmor и предназначены для снижения риска злоупотребления пространствами имен.
- Обход через aa-exec: Пользователи могут использовать инструмент aa-exec для запуска программ под определенными профилями AppArmor. Некоторые профили, такие как trinity, chrome или flatpak, настроены на разрешение создания пользовательских пространств имен с полными возможностями. Используя команду unshare через aa-exec под одним из таких разрешительных профилей, непривилегированный пользователь может обойти ограничения пространств имен и повысить привилегии внутри пространства.
- Обход через busybox: Оболочка busybox, установленная по умолчанию как на Ubuntu Server, так и на Desktop, связана с профилем AppArmor, который также позволяет создавать неограниченные пользовательские пространства имен. Атакующий может запустить оболочку через busybox и использовать ее для выполнения команды unshare, успешно создавая пространство имен с полными административными возможностями.
- Обход через LD_PRELOAD: Этот метод использует переменную окружения LD_PRELOAD динамического компоновщика для внедрения пользовательской общей библиотеки в доверенный процесс. Внедряя оболочку в программу, такую как Nautilus, которая имеет разрешительный профиль AppArmor, атакующий может запустить привилегированное пространство имен изнутри этого процесса, обходя предназначенные ограничения.
Потенциальные угрозы
Эти обходы особенно опасны, когда сочетаются с уязвимостями в компонентах ядра, требующими мощных административных привилегий в ограниченной среде. Хотя сами по себе обходы не позволяют получить полный контроль над системой, они могут быть использованы для дальнейшей эксплуатации уязвимостей.
Реакция Canonical и меры по улучшению защиты
Canonical, организация, стоящая за Ubuntu Linux, признала открытия Qualys и подтвердила, что работает над улучшением защиты AppArmor. Однако они не рассматривают эти обходы как критические уязвимости, а скорее как ограничения механизма защиты в глубину. Поэтому улучшения будут выпущены в соответствии со стандартными графиками выпуска, а не как срочные исправления безопасности.
В официальном обсуждении на форуме Ubuntu Discourse компания предложила следующие шаги по укреплению безопасности, которые администраторы должны рассмотреть:
- Отключение непривилегированных пользовательских пространств имен, если они не нужны для работы системы.
- Обновление профилей AppArmor для ужесточения ограничений на создание пространств имен.
- Регулярный мониторинг системных журналов на предмет подозрительной активности, связанной с пространствами имен.
- Использование дополнительных инструментов безопасности, таких как SELinux или НайсОС, для дополнительной защиты системы.
Заключение
Обнаружение способов обхода ограничений пользовательских пространств имен в Ubuntu подчеркивает важность постоянного мониторинга и улучшения систем безопасности. Хотя Canonical не считает эти обходы критическими, администраторы должны быть бдительны и принимать меры для защиты своих систем. Важно помнить, что безопасность - это непрерывный процесс, и использование дополнительных инструментов, таких как НайсОС, может значительно повысить уровень защиты вашей системы.
- Нативная поддержка SVG в GTK 4.22: шаг к идеальным интерфейсам
- Cache Aware Scheduling в Linux: Оптимизация для Эры Многоядерных CPU
- Оптимизированные AI-модели на Ubuntu: Локальный ИИ без облака
- TerraMaster F2-425 Plus: Эволюция NAS с 5GbE и мощным Intel N150
- Krita: open-source альтернатива Photoshop, превосходящая GIMP
- Steam Deck: Почему 'старичок' доминирует в портативном гейминге
- Pwn2Own Ireland 2025: 73 zero-day и уроки для кибербезопасности
- Nova Lake: Intel готовит графику будущего для Linux
- Asahi Linux: прорыв в поддержке Apple Silicon на ядре 6.17
- Raspberry Pi: идеальный travel-роутер и VPN для безопасных путешествий