Linux çekirdeği güvenlik ekibi tarafından yapılan önemli bir güncellemede, dünya çapındaki sistemlerin güvenliğini artırmak amacıyla CVE-2024-26925 olarak tanımlanan kritik bir güvenlik açığı giderildi.
Kusur, netfilter alt sisteminde, özellikle paket filtreleme ve sınıflandırma için çok önemli olan nf_tables bileşeninde bulundu.
Güvenlik Açığı Açıklaması
Güvenlik açığı, nf_tables’ın çöp toplama (GC) dizisi içindeki bir muteksin hatalı şekilde serbest bırakılmasından kaynaklanıyor.
Tipik olarak, taahhüt muteksi arasındaki kritik bölüm boyunca kilitli kalmalıdır. nft_gc_seq_begin() Ve nft_gc_seq_end() eşzamansız GC çalışanlarının süresi dolmuş nesneleri toplamasını ve aynı GC sırası içinde serbest bırakılan taahhüt kilidini almasını önlemek için.
Ancak keşfedildi ki nf_tables_module_autoload() Modül bağımlılıklarını yüklemek için muteksi geçici olarak serbest bırakıyor, ardından işlemi yeniden oynatmak için onu yeniden alıyordu. Bu yanlış kullanım, potansiyel olarak yarış koşullarına yol açarak Linux çekirdeğinin kararlılığını ve güvenliğini tehlikeye atabilir.
Sorun, muteks yayın sırası değiştirilerek düzeltildi. Artık muteks salınımı, iptal aşamasının sonunda gerçekleşir. nft_gc_seq_end() çağrılarak GC çalışanlarının kritik bölümü eşzamanlı erişimden koruması sağlanır.
Tanınmış bir çekirdek bakımcısı olan Greg Kroah-Hartman, bu değişikliği CVE-2024-26925 yama tanımlayıcısı altında Linux çekirdek kaynağına aktardı.
Greg Kroah-Hartman, taahhüt mesajında şunu açıkladı: “Taahhüt muteksi, nft_gc_seq_begin() ve nft_gc_seq_end() arasındaki kritik bölüm sırasında serbest bırakılmamalıdır. Aksi takdirde, eşzamansız GC çalışanı, süresi dolmuş nesneleri toplayabilir ve aynı GC dizisi içinde serbest bırakılan taahhüt kilidini alabilir.”
Güvenlik açığı birçok sistemi, özellikle de ağ paketi filtreleme için nf_tables’ı kullanan sistemleri etkileyebilir.
Linux çekirdeği geliştiricileri bu sorunu çözerek sistem çökmelerine veya yetkisiz veri erişimine yol açabilecek olası istismarları önlediler.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Azaltma ve Öneriler
Linux çekirdeği CVE ekibi, kullanıcılara, diğer hata düzeltmelerinin yanı sıra bu yamayı da içeren en son kararlı çekirdek sürümüne güncelleme yapmalarını şiddetle tavsiye eder. Ekip, bireysel değişikliklerin tek başına değil, tüm çekirdek sürümünün bir parçası olarak test edildiğini vurguluyor.
Bu nedenle bireysel taahhütlerin tercih edilmesi önerilmez ve desteklenmez.
Düzeltmeler desteklendiğinde hangi çekirdek sürümlerinin etkilenmeden kaldığına ilişkin en güncel bilgiler için kullanıcıların cve.org adresindeki CVE-2024-26925 adresindeki resmi CVE girişine başvurmaları önerilir.
Bu proaktif yama uygulaması, Linux topluluğunun güvenlik ve istikrara olan bağlılığının altını çiziyor. Kullanıcıların ve yöneticilerin, sistemlerini bu güvenlik açığından kaynaklanan olası tehditlere karşı korumak için en son güncellemeleri uygulamaları önerilir.
Combat Sophisticated Email Threats With AI-Powered Email Security Tool -> Try Free Demo