2022年第6期

【预警类型】高危预警

【预警内容】Linux Kernel ebpf 权限提升漏洞(CVE-2022-23222)

一、漏洞概述：

        近日，深信服安全团队监测到一则 Linux Kernel 组件存在权限提升漏洞的信息，漏洞编号：CVE-2022-23222。

        该漏洞是由于 Linux 内核的 BPF 验证器存在一个空指针漏洞，没有对*_OR_NULL 指针类型进行限制，允许这些类型进行指针运算。攻击者可利用该漏洞在获得低权限的情况下，构造恶意数据执行空指针引用攻击，最终获取服务器 root 权限。

二、影响范围：

        5.8 ≤ Linux Kernel ≤ 5.16

（Linux Kernel 5.10.92， 5.15.15， 5.16.1 版本不受影响）

三、解决方案或建议：

        1. 如何检测组件系统版本
在终端执行以下命令 uname -a     回显中即为系统内核版本

        2. 官方修复建议
当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

链接如下：https://www.kernel.org/

        3. 临时修复建议
此方法存在一定风险，请各位用户在做好备份的情况下，在测试环境先行使用。

可通过禁止非 root 用户使用 ebpf 的方式进行临时缓解。                                                                          命令：sudo sysctl kernel.unprivileged_bpf_disabled=2                                                                          注意：部分系统执行此命令可能报错，若如此则无法使用此方法缓解，请更新内核版本。