Linux kernel eBPF本地权限提升漏洞(CVE-2021-3490)预警

一、漏洞情况

近日，有关Linux kernel eBPF本地权限提升漏洞(CVE-2021-3490)的技术细节，以及适用于Ubuntu 20.10和21.04的漏洞利用代码（POC）已在互联网上公开。本地攻击者可利用该漏洞在目标Ubuntu机器上提升权限。目前厂商已修复该漏洞，建议受影响用户尽快更新至安全版本进行防护，并做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

Extended Berkeley Packet Filter（eBPF）是一种内核技术（从Linux 4.x开始），允许程序运行而无需改变内核源代码或添加额外的模块。它是Linux内核中的一种轻量级沙盒虚拟机 (VM)，程序员可以在其中运行利用特定内核资源的BPF字节码。

该漏洞是由于Linux内核中按位操作（AND、OR 和 XOR）的eBPF ALU32边界跟踪未能正确更新32位边界，造成Linux内核中的越界读取和写入，从而导致任意代码执行。本地攻击者可以利用该漏洞实现本地权限提升或拒绝服务。

四、影响范围

• Linux kernel < v5.10.37
• Linux kernel < v5.11.21
• Linux kernel < v5.12.4
• Linux kernel < v5.13-rc4

五、安全建议

目前厂商已修复该漏洞，建议及时更新至Linux kernel v5.13-rc4或更高版本。

下载链接：

https://www.kernel.org/

六、参考链接

• https://ubuntu.com/security/CVE-2021-3490
• https://securityaffairs.co/wordpress/120688/hacking/cve-2021-3490-linux-kernel-bug.html?
• https://github.com/chompie1337/Linux_LPE_eBPF_CVE-2021-3490
• https://www.graplsecurity.com/post/kernel-pwning-with-ebpf-a-love-story