ចំណុចខ្សោយថ្មីនៅលើ Linux Kernel

ចំណុចខ្សោយមួយដែលត្រូវបានប្រើប្រាស់បន្ទាប់ពីគ្មានការប្រើប្រាស់នៅក្នុងប្រព័ន្ធរង nftables របស់ Linux kernel ត្រូវបានបង្ហាញ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារក្នុងស្រុកដែលមិនមានសិទ្ធិបង្កើនសិទ្ធិដើម្បី root លើការចែកចាយដែលដាក់ពង្រាយយ៉ាងទូលំទូលាយ រួមទាំង Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS និង Ubuntu 24.04 LTS។

ចំណុចខ្សោយនេះត្រូវបានគេតាមដានថាជា CVE-2026-23111 នៅដើមឆ្នាំ 2025 ហើយត្រូវបានជួសជុលនៅថ្ងៃទី 5 ខែកុម្ភៈ ឆ្នាំ 2026 តាមរយៈការប្តេជ្ញាចិត្ត kernel។ អ្នកស្រាវជ្រាវសន្តិសុខ Oliver Sieber មកពី Exodus Intelligence បានបោះពុម្ពផ្សាយអត្ថបទបច្ចេកទេសលម្អិតមួយ រួមជាមួយនឹងការកេងប្រវ័ញ្ចដែលបង្ហាញពីភាពជឿជាក់ >99% លើប្រព័ន្ធទំនេរ។

ចំណុចខ្សោយនេះមានប្រភពមកពីមុខងារ nft_map_catchall_activate() នៅក្នុងប្រព័ន្ធរង nftables — ក្របខ័ណ្ឌតម្រងកញ្ចប់ដែលបង្កើតឡើងនៅលើកំពូលនៃទំពក់ Netfilter របស់ Linux។

ជាពិសេស ការត្រួតពិនិត្យលក្ខខណ្ឌបញ្ច្រាសតែមួយ (ប្រតិបត្តិករ ! ដែលដាក់ខុសកន្លែង) បណ្តាលឱ្យមុខងាររំលងធាតុ catchall អសកម្មមិនត្រឹមត្រូវក្នុងអំឡុងពេលដំណើរការបញ្ឈប់ ជំនួសឱ្យការធ្វើឱ្យពួកវាសកម្មឡើងវិញ។

នៅពេលដែលផែនទីវិនិច្ឆ័យដែលគាំទ្រដោយ pipapo ដែលមានធាតុ catchall ដែលយោងទៅលើខ្សែសង្វាក់មួយត្រូវបានលុប ហើយប្រតិបត្តិការជាបន្តបន្ទាប់នៅក្នុងបាច់ដូចគ្នាបរាជ័យ ដែលបង្កឱ្យមានការបញ្ឈប់ ធាតុ catchall នៅតែអសកម្មមិនត្រឹមត្រូវ។

នេះទុកបញ្ជរយោងនៃខ្សែសង្វាក់ដែលបានយោងនៅសូន្យ ទោះបីជាឯកសារយោងដែលមានសុពលភាពចំពោះខ្សែសង្វាក់នោះនៅតែមានក៏ដោយ។ បន្ទាប់មកអ្នកវាយប្រហារអាចលុបខ្សែសង្វាក់នោះ ខណៈពេលដែលទ្រនិចចង្អុលព្យួរនៅតែស្ថិតក្នុងច្បាប់ខ្សែសង្វាក់មូលដ្ឋាន ដែលបង្កឱ្យមានលក្ខខណ្ឌ use-after-free។

ភាពងាយរងគ្រោះបន្ទាប់ពីការប្រើប្រាស់ខឺណែលលីនុច

ការកេងប្រវ័ញ្ចនេះភ្ជាប់បាច់ប្រតិបត្តិការចំនួនបួនដើម្បីរៀបចំយន្តការទស្សន៍ទ្រនិចជំនាន់របស់ nftables៖

បាច់ទី 1: លុបសំណុំ pipapo បន្ទាប់មកបង្ខំឱ្យមានកំហុសដើម្បីបង្កឱ្យមានការបញ្ឈប់ - បណ្តាលឱ្យបញ្ជរយោងខ្សែសង្វាក់ថយចុះមិនត្រឹមត្រូវ

បាច់ទី 2: ផ្ញើប្រតិបត្តិការស្រាលដើម្បីបិទ/បើកទស្សន៍ទ្រនិចជំនាន់

បាច់ទី 3: លុបសំណុំ pipapo ឱ្យស្អាត ដោយធ្វើឱ្យបញ្ជរយោងខ្សែសង្វាក់ទៅសូន្យ

បាច់ទី 4: លុបខ្សែសង្វាក់ខណៈពេលដែលខ្សែសង្វាក់មូលដ្ឋានរក្សាច្បាប់ផ្ទាល់ដែលយោងវា

ពីទីនោះ ការកេងប្រវ័ញ្ចអនុវត្តការបរាជ័យ KASLR ដោយទាមទារយកបន្ទះ kmalloc-cg-32 ដែលបានដោះលែងជាមួយនឹងរចនាសម្ព័ន្ធ seq_operations (បំពេញតាមរយៈ open("/proc/self/stat")) ដែលលេចធ្លាយសូចនាករមុខងារខឺណែលតាមរយៈសំណើ NFT_MSG_GETRULE។

អាសយដ្ឋាន Heap ត្រូវបានលេចធ្លាយជាបន្តបន្ទាប់ដោយការទាមទារយកវត្ថុ kmalloc-cg-192 ដែលបានដោះលែងជាមួយនឹងរចនាសម្ព័ន្ធ nft_rule ដែលបានបង្កើតដែលសូចនាករបញ្ជីតំណភ្ជាប់ត្រូវបានច្រោះតាមរបៀបដូចគ្នា។

ការលួចយកលំហូរត្រួតពិនិត្យត្រូវបានសម្រេចដោយការសរសេរជាន់លើសូចនាករ blob_gen_0 របស់ខ្សែសង្វាក់ដែលបានលុបជាមួយនឹងរចនាសម្ព័ន្ធ nft_expr_ops ក្លែងក្លាយដែលចង្អុលទៅឧបករណ៍ ROP (push rbx; pop rsp)។ ខ្សែសង្វាក់ ROP ចុងក្រោយហៅ commit_creds(&init_cred) ដើម្បីទទួលបានព័ត៌មានសម្ងាត់ root បន្ទាប់មកគេចផុតពីភាពឯកោនៃ namespace តាមរយៈ switch_task_namespaces() ដោយសម្រេចបាននូវការបំបែកកុងតឺន័រ និង namespace ពេញលេញ។

លោក Oliver Sieber បាននិយាយថា ការកេងប្រវ័ញ្ចនេះសម្រេចបាននូវស្ថេរភាព >99% លើប្រព័ន្ធទំនេរ និងស្ថេរភាពប្រហែល 80% ក្រោមសម្ពាធ heap ធ្ងន់ (Apache benchmark តាមរយៈ Phoronix Test Suite) ដែលធ្វើឱ្យវាអាចទុកចិត្តបានខ្ពស់នៅក្នុងលក្ខខណ្ឌពិភពពិត។

ជាពិសេស សេចក្តីថ្លែងការណ៍បំបែកដូចគ្នាដែលបានណែនាំពីកំហុសនេះក៏បានបង្កើតកំហុសដែលពាក់ព័ន្ធដែលតាមដានថាជា CVE-2026-23278 ដែលត្រូវបានជួសជុលដោយឡែកពីគ្នាតាមរយៈការប្តេជ្ញាចិត្ត kernel ទីពីរ។

អ្នកគ្រប់គ្រងគួរតែអនុវត្តបំណះ kernel ខាងលើ (commit f41c5d1) ភ្លាមៗ ឬធ្វើបច្ចុប្បន្នភាពទៅការចេញផ្សាយ kernel ដែលបានជួសជុលដែលផ្តល់ដោយការចែកចាយរបស់ពួកគេ។

នៅលើប្រព័ន្ធ Ubuntu ការរឹតបន្តឹងការបង្កើតឈ្មោះអ្នកប្រើប្រាស់ដែលមិនមានសិទ្ធិតាមរយៈ kernel.unprivileged_userns_clone=0 ផ្តល់នូវការកាត់បន្ថយដោយផ្នែកដែលគោលការណ៍អនុញ្ញាត។