Linux kernel eBPF本地權限提升漏洞(CVE-2021-3490)預警

一、漏洞情況

近日，有關Linux kernel eBPF本地權限提升漏洞(CVE-2021-3490)的技術細節，以及適用于Ubuntu 20.10和21.04的漏洞利用代碼（POC）已在互聯網上公開。本地攻擊者可利用該漏洞在目標Ubuntu機器上提升權限。目前廠商已修復該漏洞，建議受影響用戶盡快更新至安全版本進行防護，并做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

Extended Berkeley Packet Filter（eBPF）是一種內核技術（從Linux 4.x開始），允許程序運行而無需改變內核源代碼或添加額外的模塊。它是Linux內核中的一種輕量級沙盒虛擬機 (VM)，程序員可以在其中運行利用特定內核資源的BPF字節碼。

該漏洞是由于Linux內核中按位操作（AND、OR 和 XOR）的eBPF ALU32邊界跟蹤未能正確更新32位邊界，造成Linux內核中的越界讀取和寫入，從而導致任意代碼執行。本地攻擊者可以利用該漏洞實現本地權限提升或拒絕服務。

四、影響范圍

• Linux kernel < v5.10.37
• Linux kernel < v5.11.21
• Linux kernel < v5.12.4
• Linux kernel < v5.13-rc4

五、安全建議

目前廠商已修復該漏洞，建議及時更新至Linux kernel v5.13-rc4或更高版本。

下載鏈接：

https://www.kernel.org/

六、參考鏈接

• https://ubuntu.com/security/CVE-2021-3490
• https://securityaffairs.co/wordpress/120688/hacking/cve-2021-3490-linux-kernel-bug.html?
• https://github.com/chompie1337/Linux_LPE_eBPF_CVE-2021-3490
• https://www.graplsecurity.com/post/kernel-pwning-with-ebpf-a-love-story