Vulnerabilità nel kernel Linux (CVE-2024-26925)
Il team di sicurezza del kernel Linux ha recentemente affrontato una grave vulnerabilità, identificata come CVE-2024-26925, per rafforzare la sicurezza dei sistemi globali. Questa vulnerabilità è stata scoperta nel netfilter subsystem, più precisamente nel componente nf_tables, che è fondamentale per la filtrazione e la classificazione dei pacchetti.
Descrizione della vulnerabilità
La vulnerabilità è derivata da una gestione inappropriata del mutex durante la sequenza di garbage collection (GC) di nf_tables. Il commit mutex dovrebbe rimanere bloccato durante il segmento critico tra nft_gc_seq_begin() e nft_gc_seq_end() per impedire ai lavoratori asincroni GC di raccogliere oggetti scaduti e acquisire il commit lock rilasciato all’interno della stessa sequenza GC. Tuttavia, è stato scoperto che nf_tables_module_autoload() stava temporaneamente rilasciando il mutex per caricare le dipendenze del modulo, quindi riacquisendolo per riprodurre la transazione. Questa gestione errata potrebbe potenzialmente causare condizioni di gara, mettendo a rischio la stabilità e la sicurezza del kernel Linux.
Per risolvere questo problema, il rilascio del mutex è stato modificato per avvenire alla fine della fase di annullamento, dopo che nft_gc_seq_end() è stato chiamato. Questo garantisce che i lavoratori GC proteggano il segmento critico da accessi concorrenti.
Greg Kroah-Hartman, un famoso mantainer del kernel, ha commesso questa modifica nel codice sorgente del kernel Linux con l’identificatore di patch CVE-2024-26925.
Nel messaggio di commit, Greg Kroah-Hartman ha spiegato: “Il commit mutex non dovrebbe essere rilasciato durante il segmento critico tra nft_gc_seq_begin() e nft_gc_seq_end(). In caso contrario, il lavoratore GC asincrono potrebbe raccogliere oggetti scaduti e acquisire il commit lock rilasciato all’interno della stessa sequenza GC”.
Impatto e soluzioni
Questa vulnerabilità potrebbe interessare molti sistemi, in particolare quelli che utilizzano nf_tables per il filtraggio dei pacchetti di rete. Risolvendo questo problema, gli sviluppatori del kernel Linux hanno impedito possibili exploit che potrebbero portare a crash del sistema o accesso non autorizzato a dati.
Mitigazione e raccomandazioni
Il team CVE del kernel Linux raccomanda vivamente agli utenti di aggiornare al kernel più recente, che include questa patch e altre correzioni di bug. Il team sottolinea che i singoli cambiamenti non vengono testati in isolamento, ma come parte dell’intero rilascio del kernel. Pertanto, selezionare individualmente i commit non è supportato e sconsigliato.
Per informazioni aggiornate su quali versioni del kernel non sono interessate da questa vulnerabilità, gli utenti sono invitati a consultare l’ingresso ufficiale CVE su cve.org.
Questo aggiornamento tempestivo sottolinea l’impegno della comunità Linux per la sicurezza e la stabilità. Gli utenti e gli amministratori sono invitati ad applicare gli ultimi aggiornamenti per proteggere i propri sistemi da potenziali minacce derivanti da questa vulnerabilità.
Fonte: https://cybersecuritynews.com/linux-kernel-vulnerability/
