Introducción
La semana pasada se descubrió una vulnerabilidad en el kernel de Linux que ocasionaba un desbordamiento de pila, lo que podría usarse para provocar ataques DDoS o escalada de privilegios. [1]
Análisis
La vulnerabilidad se encuentra en el sistema Filesystem Context, concretamente en la función legacy_parse_param. Filesystem Context se utiliza cuando se crea un superbloque para montar y remontar archivos de sistema, enviando más de 4095 bytes a la función legacy_parse_param se puede bypassear permitiendo a los atacantes escribir en espacios de memoria privilegiados.
Además, los atacantes también pueden aprovechar un movimiento de escape de contenedor y obtener control del sistema operativo del host y los contenedores que se estén ejecutando.
La vulnerabilidad tiene una puntuación oficial CVSSv3 de 7.8 por lo que se considera de prioridad alta.
No hay prueba de concepto asociada a esta vulnerabilidad.
Recomendaciones
Linux ya ha publicado un parche [2] que soluciona la vulnerabilidad, por lo que se recomienda actualizar. En el caso de no poder instalar el parche, se puede deshabilitar los espacios de nombres de usuario sin privilegios mediante el siguiente comando:
sysctl -w kernel.unprivileged_userns_clone = 0
Referencias
[1] https://sysdig.com/blog/cve-2022-0185-container-escape/
[2]https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=722d94847de29310e8aa03fcbdb41fc92c521756