È emerso un nuovo difetto di sicurezza nel kernel Linux che potrebbe consentire a un utente di guadagnare privilegi elevati su un host target. Denominata StackRot, questa vulnerabilità colpisce le versioni Linux da 6.1 a 6.4 e, sebbene non ci siano prove che sia stata sfruttata attivamente, rappresenta una potenziale minaccia per la sicurezza dei sistemi Linux.
Dettagli sulla vulnerabilità StackRot
StackRot, identificata come CVE-2023-3269, è una vulnerabilità nel sottosistema di gestione della memoria del kernel Linux. Secondo Ruihan Li, ricercatore di sicurezza presso l’Università di Pechino, StackRot colpisce quasi tutte le configurazioni del kernel e richiede capacità minime per essere attivata. Tuttavia, sfruttare questa vulnerabilità è considerato difficile, poiché i nodi maple vengono liberati utilizzando callback RCU, ritardando la deallocazione della memoria effettiva fino alla fine del periodo di grazia RCU.
Misure di correzione e divulgazione responsabile
Dopo una divulgazione responsabile il 15 giugno 2023, la vulnerabilità è stata affrontata nelle versioni stabili 6.1.37, 6.3.11 e 6.4.1 a partire dal 1 luglio 2023, grazie a uno sforzo di due settimane guidato da Linus Torvalds. Si prevede che un exploit di prova su concetto (PoC) e dettagli tecnici aggiuntivi sulla vulnerabilità saranno resi pubblici entro la fine del mese.
La natura del difetto
La vulnerabilità è radicata in una struttura dati chiamata “maple tree”, introdotta nel kernel Linux 6.1 come sostituzione per l’albero rosso-nero (rbtree) per gestire e memorizzare aree di memoria virtuale (VMA). In particolare, è descritta come un bug di “use-after-free” che potrebbe essere sfruttato da un utente locale per compromettere il kernel e aumentare i propri privilegi, sfruttando il fatto che il “maple tree” può subire una sostituzione di nodi senza acquisire correttamente il blocco di scrittura MM.