趨勢科技實驗室Zero Day Initiative(ZDI)揭露Linux核心有一個可讓攻擊者執行遠端程式碼、風險值達到滿分10的重大漏洞,呼籲管理員應立即安裝修補程式。
ZDI今年一共發現Linux核心5項漏洞,其中4項影響Linux核心的Server Message Block(SMB)server元件ksmbd,另一項則影響CIFS。
以上漏洞影響5.19.2之前的Linux內核版本外,且只有已開啟ksmbd的Linux環境才受影響。
CVE-2022-47939屬於使用已釋放記憶體(use after free)漏洞,發生在fs/ksmbd/smb2pdu.c元件處理SMB2_TREE_DISCONNECT指令過程時,未能在執行指令運作前驗證物件是否真的存在,讓未經驗證的攻擊者得以在Linux核心執行任意程式碼。
CVE-2022-47940為其中smb2pdu.c未能驗證使用者送入smb2_write的資料,導致攻擊者越界讀取資料。
CVE-2022-47942是set_ntacl_dacl檔案的堆積緩衝溢位攻擊漏洞,來自攻擊者輸入改造過的SMB2_SET_INFO_HE指令導致記憶體毁損。
CVE-2022-47938是CIFS檔案系統處理指令過程中欠缺對使用者資料的驗證,可導致阻斷服務攻擊(Denial of Service,DoS)。
CVE-2022-47941為smb2pdu.c未能檢查特定smb2_handle_negotiate的錯誤條件,導致記憶體內容外洩。
任何使用5.15核心以前的Linux發行版都有可能受影響,RedHat指出,RedHat及OpenShift都未包含ksmbd漏洞。
Ubuntu則列出了受影響的版本清單,包括Ubuntu 22.04及以後版本。
CVE-2022-47939:5.19.2之前的Linux內核
CVE-2022-47940:5.18.18之前的Linux內核
CVE-2022-47942:5.19.2之前的Linux內核
CVE-2022-47938:5.19.2之前的Linux內核
CVE-2022-47941:5.19.2之前的Linux內核
1.請參考以下診斷步驟確認單位內是否開啟ksmbd的服務:
(1)查找SMB_SERVER內核中的功能:
$ grep SMB_SERVER /boot/config-$(uname -r)
# CONFIG_SMB_SERVER is not set
--OR--
$ grep SMB_SERVER /boot/config-$(uname -r)
$
(2)獲取ksmbd模組訊息:
$ modinfo ksmbd
modinfo: ERROR: Module ksmbd not found.
2.若已開啟ksmbd建議儘速將Linux升級至5.19.2以後版本的核心以減低風險。
https://www.ithome.com.tw/news/154880?fbclid=IwAR0qSXVEM_ef-6BSdNLfA7vO9ZVoZ6bXfVkO3ZNjxRdL3sIdDxgeyXR3zRI
https://access.redhat.com/solutions/6991749
https://ubuntu.com/security/CVE-2022-47939
https://ubuntu.com/security/CVE-2022-47940
https://ubuntu.com/security/CVE-2022-47942
https://ubuntu.com/security/CVE-2022-47938
https://ubuntu.com/security/CVE-2022-47941
https://www.zerodayinitiative.com/advisories/ZDI-22-1690/
本公司提供的服務並未受此漏洞影響