Обход ограничений пользовательских пространств имен в Ubuntu: угрозы и решения
В Ubuntu обнаружены три способа обхода ограничений пользовательских пространств имен, что позволяет локальным пользователям без привилегий создавать пространства с полными административными возможностями. Эти обходы могут быть опасны в сочетании с уязвимостями ядра. Canonical работает над улучшением защиты AppArmor, но пока не считает эти обходы критическими уязвимостями. В статье рассмотрены методы обхода и рекомендации по защите системы.
Обход ограничений пользовательских пространств имен в Ubuntu: угрозы и решения
В последнее время в сообществе Linux обсуждается важная тема безопасности, связанная с обнаружением трех способов обхода ограничений пользовательских пространств имен в Ubuntu. Эти обходы позволяют локальным пользователям без привилегий создавать пространства имен с полными административными возможностями, что может привести к эксплуатации уязвимостей в компонентах ядра. В этой статье мы рассмотрим, какие методы обхода были обнаружены, какие версии Ubuntu подвержены этим проблемам и как Canonical планирует улучшить защиту.
Что такое пользовательские пространства имен?
Пользовательские пространства имен в Linux позволяют пользователям действовать как root внутри изолированного окружения (пространства имен) без обладания такими же привилегиями на хосте. Это полезно для тестирования и разработки, но также может быть использовано злоумышленниками для повышения привилегий.
Обнаруженные обходы
Исследователи из компании Qualys обнаружили три различных способа обхода ограничений, введенных в Ubuntu 23.10 и активированных по умолчанию в Ubuntu 24.04. Эти ограничения основаны на AppArmor и предназначены для снижения риска злоупотребления пространствами имен.
- Обход через aa-exec: Пользователи могут использовать инструмент aa-exec для запуска программ под определенными профилями AppArmor. Некоторые профили, такие как trinity, chrome или flatpak, настроены на разрешение создания пользовательских пространств имен с полными возможностями. Используя команду unshare через aa-exec под одним из таких разрешительных профилей, непривилегированный пользователь может обойти ограничения пространств имен и повысить привилегии внутри пространства.
- Обход через busybox: Оболочка busybox, установленная по умолчанию как на Ubuntu Server, так и на Desktop, связана с профилем AppArmor, который также позволяет создавать неограниченные пользовательские пространства имен. Атакующий может запустить оболочку через busybox и использовать ее для выполнения команды unshare, успешно создавая пространство имен с полными административными возможностями.
- Обход через LD_PRELOAD: Этот метод использует переменную окружения LD_PRELOAD динамического компоновщика для внедрения пользовательской общей библиотеки в доверенный процесс. Внедряя оболочку в программу, такую как Nautilus, которая имеет разрешительный профиль AppArmor, атакующий может запустить привилегированное пространство имен изнутри этого процесса, обходя предназначенные ограничения.
Потенциальные угрозы
Эти обходы особенно опасны, когда сочетаются с уязвимостями в компонентах ядра, требующими мощных административных привилегий в ограниченной среде. Хотя сами по себе обходы не позволяют получить полный контроль над системой, они могут быть использованы для дальнейшей эксплуатации уязвимостей.
Реакция Canonical и меры по улучшению защиты
Canonical, организация, стоящая за Ubuntu Linux, признала открытия Qualys и подтвердила, что работает над улучшением защиты AppArmor. Однако они не рассматривают эти обходы как критические уязвимости, а скорее как ограничения механизма защиты в глубину. Поэтому улучшения будут выпущены в соответствии со стандартными графиками выпуска, а не как срочные исправления безопасности.
В официальном обсуждении на форуме Ubuntu Discourse компания предложила следующие шаги по укреплению безопасности, которые администраторы должны рассмотреть:
- Отключение непривилегированных пользовательских пространств имен, если они не нужны для работы системы.
- Обновление профилей AppArmor для ужесточения ограничений на создание пространств имен.
- Регулярный мониторинг системных журналов на предмет подозрительной активности, связанной с пространствами имен.
- Использование дополнительных инструментов безопасности, таких как SELinux или НайсОС, для дополнительной защиты системы.
Заключение
Обнаружение способов обхода ограничений пользовательских пространств имен в Ubuntu подчеркивает важность постоянного мониторинга и улучшения систем безопасности. Хотя Canonical не считает эти обходы критическими, администраторы должны быть бдительны и принимать меры для защиты своих систем. Важно помнить, что безопасность - это непрерывный процесс, и использование дополнительных инструментов, таких как НайсОС, может значительно повысить уровень защиты вашей системы.
- GIMP: Мощный инструмент, а не просто альтернатива Photoshop
- GNOME 48: Новые возможности и улучшения рабочего процесса
- Ubuntu на NVIDIA Jetson: новые возможности для ИИ и робототехники
- Возвращение легенды: новые умные часы Pebble с открытым ПО
- Обзор OpenJDK Java 24: новшества и оптимизации
- Fedora Linux 42 Beta: Новые возможности и перспективы
- Ubuntu 25.10: Переход на Rust и новые лицензии
- Новый релиз elementary OS 8.0.1: ускорение поиска и улучшения в AppCenter
- Discord Social SDK: Новый уровень интеграции для геймеров
- Новые камеры OpenMV AE3 и N6: Прорыв в AI на краю сети