一、背景介绍
6月13日,市委网信办技术支撑单位监测到Linux Kernel eBPF权限提升漏洞(CVE-2022-23222)POC在互联网上公开。目前,官方已有可更新版本,建议用户尽快升级至最新版本。
1.1漏洞描述
该漏洞的存在是由于Linux内核的BPF验证器没有对*_OR_NULL指针类型进行限制,允许这些类型进行指针运算。将一个*_OR_NULL类型的NULL指针r0传递给r1,再将r1加1,然后对r0进行NULL检查,此时eBPF会认为r0和r1都为0,但实际上r0为0,r1为1,攻击者可以利用这个漏洞提升本地权限至ROOT。
1.2漏洞编号
CVE-2022-23222
1.3漏洞等级
高危
二、修复建议
2.1影响版本
5.8.0 ≤ Linux kernel ≤ 5.16
2.2修复建议
(1)升级内核至安全版本
(2)缓解措施: 禁止非特权用户执行BPF程序(命令:
sudo sysctl kernel.unprivileged_bpf_disabled=2 )
(3)排查方法:可以使用uname -a查看内核版本是否在漏洞影响版本内