CloudLinux CageFS (محیط گرافیکی فایل سیستم با دسترسی کنترل شده) یک فایلسیستم مجازی و یک ویژگی امنیتی است که جهت افزایش امنیت محیطهای میزبانی مشترک (shared hosting)، به ویژه در زمینه سرورهای میزبانی وب، طراحی شده است.
CageFS با ایجاد یک فایلسیستم مجازی برای هرکاربر در سرور، تضمین میکند که فایلها و فرآیندهای هر کاربر در "Cage" خود کپسوله میشوند و از دسترسی یا تداخل آنها با فایلها و فرآیندهای متعلق به سایر کاربران در همان سرور جلوگیری کرده که این امر به افزایش امنیت سرور کمک میکند.
دو آسیبپذیری با شناسه های CVE-2020-36772 و CVE-2020-36771 در CloudLinux CageFS کشف شدهاند. در اولین آسیبپذیری با شناسه CVE-2020-36771، توکن احراز هویت به عنوان آرگومان خط فرمان (command line) منتقل میشود که در برخی از تنظیمات، کاربران محلی میتوانند آن را از طریق لیست فرآیند مشاهده کرده و کد را به عنوان کاربر دیگر اجرا کنند.
در دومین آسیبپذیری با شناسه CVE-2020-36772 ،CloudLinux CageFS مسیرهای فایل ارائه شده به دستور sendmail proxy را به اندازه کافی کنترل و محدود نمیکند که این امر به کاربران محلی اجازه میدهد تا فایلهای دلخواه خارج از محیط CageFS را به صورت محدود بخوانند و بنویسند.
محصولات تحت تأثیر
CageFS 7.0.8-2 و نسخههای قبل از آن نسبت به آسیبپذیری با شناسه CVE-2020-36772 و CageFS 7.1.1-1 و نسخههای پیشین آن در برابر نقص CVE-2020-36771 آسیبپذیر هستند.
توصیههای امنیتی
کاربران میتوانند با دو دستور زیر محصول خود را به آخرین نسخه بهروزرسانی کنند:
• yum update cagefs lve-wrappers
• # yum update lvemanager lve-utils lve-stats alt-python27-cllib
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2020-6771
[2] https://nvd.nist.gov/vuln/detail/CVE-2020-6772
- 27