本周文摘的主题包括Linux Perf子系统中的一个竞赛条件、BIND中的拒绝服务,以及基于OWASP风险评级方法的风险评估计算器。
Linux Perf子系统中的竞赛条件
Linux中的Perf子系统是一个基于内核的子系统,为硬件和软件的性能分析和监控提供一个框架。它最初在v2.6.31版本中被并入Linux内核,并有一个用户空间工具(perf)与内核子系统接口。用户空间的perf工具可以对硬件事件(CPU中寄存器执行的上下文切换和指令),以及软件事件(通过软件计数器和跟踪点)进行记录、计数、b和采样。
被列为CWE- 362的漏洞CVE-2022-1729是perf_event_open系统调用中的一个竞赛条件,由Norbert Slusarek发现。根据手册页面,"对perf_event_open()的调用会创建一个文件描述符,允许测量性能信息。每个文件描述符对应于一个被测量的事件;这些文件描述符可以被分组,以同时测量多个事件。"
该竞赛条件似乎从内核v4.0-rc1开始就存在,并可能导致权限升级和任意代码执行。这个漏洞的补丁是Linux内核5.17.10-rc1发布周期的一部分。
此外,RedHat的一个缓解方法建议通过sysctl将kernel.perf_event_paranoid变量设置为'3',以限制非特权用户访问内核的Perf子系统。
BIND中的拒绝服务
ISC上周发布了一个安全公告,一个影响BIND9.18.0到9.18.2版本和9.19开发分支的9.19.0版本的高严重性漏洞。该漏洞最初由Thomas Amgarten发现,可通过网络利用,ISC分配的CVSS评分为7.0。
在某些情况下,如果客户端与http TLS监听器的TLS连接过早被破坏,成功的利用会导致命名的守护程序以断言失败而终止(导致拒绝服务)。脆弱的系统包括启用了HTTPS的DNS的BIND服务器,并在其命名的配置中的listen-on语句中包括对http的引用。根据公告,单独使用DNS over TLS的配置不受此漏洞影响。
目前,还没有已知的解决方法,但ISC建议分别升级到稳定版的v9.18.3 和开发版的v9.19.1以减轻影响。
风险评估计算器
在漏洞管理的生命周期中,估计与可能影响组织基础设施的新漏洞有关的技术和商业影响是很重要的。
风险评估方法考虑到各种因素,如利用的可能性、对手的技能水平和发现的难易程度等等。
OWASP的一种方法是根据这些因素来计算整体风险的严重程度。
Ivan Markovic的风险评估计算器是基于OWASP的风险评级方法,可作为一个开源工具。风险的计算方法是::
风险 = 可能性 * 影响
在上述公式中,开发的可能性取决于进一步考虑到相关因素的几个因素:
- 威胁者:技能水平;动机、机会;以及威胁者的规模。
- 漏洞因素:发现和利用的难易程度;对漏洞的认识;以及入侵检测系统对漏洞的检测。
同样地,影响脆弱性总体影响的因素包括::
- 技术影响因素:威胁者行为的保密性、完整性、可用性和问责制的丧失。
- 商业因素:财务和声誉损失;不遵守规定;以及侵犯隐私。
因此,一个漏洞的整体风险得分使所有者能够做出明智的决定,并有助于优先修补。
注释