5.1 ከተለቀቀ በኋላ በሊኑክስ ከርነል ውስጥ የተካተተው io_uring ያልተመሳሰለ ግብዓት/ውፅዓት በይነገጽ ትግበራ ላይ ተጋላጭነት (CVE-2022-2602) ተለይቷል፣ ይህም ያልተፈቀደ ተጠቃሚ በስርዓቱ ውስጥ የስር መብቶችን እንዲያገኝ ያስችለዋል። ችግሩ ከቅርንጫፍ 5.4 ጀምሮ በቅርንጫፍ 5.15 እና በከርነል ተረጋግጧል.
ተጋላጭነቱ የሚከሰተው ከጥቅም ውጭ በሆነ የማስታወሻ ማገጃ በ io_uring ንኡስ ሲስተም ውስጥ ሲሆን ይህም በዘር ሁኔታ ምክንያት ለዩኒክስ ሶኬቶች ቆሻሻ በሚሰበሰብበት ጊዜ የ io_uring ጥያቄን በዒላማው ፋይል ላይ ሲያካሂድ, ቆሻሻ ሰብሳቢው ሁሉንም የተመዘገቡትን ነጻ ካደረገ ነው. የፋይል ገላጭ እና io_uring የሚሰራበት የፋይል ገላጭ። ሰው ሰራሽ በሆነ መንገድ ተጋላጭነቱ እንዲገለጥ ሁኔታዎችን ለመፍጠር፣ ቆሻሻ ሰብሳቢው ማህደረ ትውስታን እስኪለቅ ድረስ ጥያቄውን userfaultfd በመጠቀም ማዘግየት ይችላሉ።
ችግሩን የለዩት ተመራማሪዎች ለተጠቃሚዎች ዝመናዎችን እንዲጭኑ ጊዜ ለመስጠት በጥቅምት 25 ላይ ለማተም ያሰቡትን የስራ ብዝበዛ መፈጠሩን አስታውቀዋል። ማስተካከያው በአሁኑ ጊዜ እንደ ፕላስተር ይገኛል። የስርጭቶች ዝማኔዎች ገና አልተለቀቁም፣ ነገር ግን መገኘታቸውን በሚቀጥሉት ገፆች መከታተል ይችላሉ፡ Debian፣ Ubuntu፣ Gentoo፣ RHEL፣ Fedora፣ SUSE/openSUSE፣ Arch.
ምንጭ: opennet.ru