Linux nüvəsində yerli istifadəçiyə sistemə kök girişi əldə etməyə imkan verən boşluq (CVE-2022-1729) müəyyən edilib. Zəiflik, nüvə yaddaşının artıq boşaldılmış sahəsinə istifadədən sonra pulsuz girişi başlatmaq üçün istifadə edilə bilən perf alt sistemindəki yarış vəziyyəti ilə əlaqədardır. Problem 4.0-rc1 kernelinin buraxılışından sonra ortaya çıxdı. 5.4.193+ buraxılışları üçün əməliyyat qabiliyyəti təsdiqlənib.
Düzəliş hazırda yalnız yamaq şəklində mövcuddur. Zəifliyin təhlükəsi onunla azaldılır ki, əksər paylamalar standart olaraq imtiyazsız istifadəçilər üçün perf-ə girişi məhdudlaşdırır. Qoruma üçün müvəqqəti həll yolu olaraq, sysctl kernel.perf_event_paranoid parametrini 3-ə təyin edə bilərsiniz.
Mənbə: opennet.ru