Varios proveedores y entidades encargadas de brindar mantenimiento de Linux, como Red Hat entre otros, revelaron una vulnerabilidad de heap-based buffer overflow que se encuentra en el kernel de Linux.
Dicha vulnerabilidad identificada como CVE-2022-0185, de severidad alta, cuenta con una puntuación asignada de 7.8. Esta se debe a una falla en la función legacy_parse_param en la funcionalidad Filesystem Context del kernel de Linux, que verifica la longitud de los parámetros proporcionados. Un atacante local sin privilegios, capaz de abrir un sistema de archivos que no es compatible con la API de Filesystem Context, podría usar esta falla para escalar sus privilegios en el sistema.
Además, esta vulnerabilidad afecta directamente a los entornos en contenedores como Kubernetes, por lo que los usuarios de estas plataformas deben asegurarse de que solo los workloads necesarios tengan el permiso CAP_SYS_ADMIN, esto es primordial para evitar la explotación de este problema, se puede utilizar la herramienta Kubescape para detectar tales workloads ejecutando el control C-0046 sobre el clúster.
Las versiones del kernel de Linux afectadas van desde la 5.1-rc1 a la 5.16.
Recomendamos instalar las actualizaciones correspondientes provistas por Linux mediante el siguiente enlace:
En caso de que no sea posible aplicar el parche de seguridad del kernel de Linux, se puede deshabilitar los namespaces sin necesidad de reiniciar, de igual forma estos comandos podrían afectar la capacidad del host para ejecutar contenedores.
- Para la mayoría de las distribuciones se puede utilizar el siguiente comando:
sysctl -w kernel.unprivileged_userns_clone = 0
- Para el caso de Red Hat Linux, se puede mitigar la falla cambiando la configuración de user.max_user_namespaces:
echo «usuario.max_user_namespaces = 0» >> /etc/sysctl.d/userns.conf
sysctl -p /etc/sysctl.d/userns.conf
Referencias: