Usa ka vulnerability (CVE-5.1-2022) ang giila sa pagpatuman sa io_uring asynchronous input/output interface, nga gilakip sa Linux kernel sukad sa pagpagawas sa 2602, nga nagtugot sa usa ka walay pribilehiyo nga tiggamit nga makakuha og mga katungod sa gamut sa sistema. Ang problema nakumpirma sa branch 5.4 ug kernels sukad sa branch 5.15.
Ang kahuyang kay tungod sa usa ka use-after-free memory block sa io_uring subsystem, nga mahitabo isip resulta sa usa ka kondisyon sa lumba sa pagproseso sa usa ka io_uring request sa target file atol sa pagkolekta sa basura para sa Unix sockets, kung ang garbage collector mopagawas sa tanang rehistrado. file descriptors ug ang file descriptor nga gigamit sa io_uring. Aron sa artipisyal nga paghimo og mga kondisyon alang sa pagkahuyang nga magpakita sa iyang kaugalingon, mahimo nimong ilangan ang hangyo gamit ang userfaultfd hangtod nga ang tigkolekta sa basura mopagawas sa memorya.
Ang mga tigdukiduki nga nakaila sa problema nagpahibalo sa paghimo sa usa ka nagtrabaho nga pagpahimulos, nga ilang gitinguha nga imantala sa Oktubre 25 aron mahatagan ang oras sa mga tiggamit sa pag-install sa mga update. Ang pag-ayo magamit karon ingon usa ka patch. Ang mga update alang sa mga distribusyon wala pa gipagawas, apan mahimo nimong masubay ang ilang pagkaanaa sa mosunod nga mga panid: Debian, Ubuntu, Gentoo, RHEL, Fedora, SUSE/openSUSE, Arch.
Source: opennet.ru