Diversi vulnerabilità sò state identificate in u kernel Linux, causatu da accede à e zone di memoria digià liberate è chì permettenu à un utilizatore locale per aumentà i so privilegi in u sistema. Per tutti i prublemi in cunsiderà, sò stati creati prototipi di travagliu di sfruttamenti, chì seranu publicati una settimana dopu a publicazione di l'infurmazioni nantu à e vulnerabili. Patch per risolve i prublemi sò stati mandati à i sviluppatori di u kernel Linux.
- CVE-2022-2588 hè una vulnerabilità in l'implementazione di u filtru cls_route causata da un errore per via di quale, quandu si tratta un manicu nulu, u vechju filtru ùn hè micca statu eliminatu da a tavola hash prima chì a memoria hè stata sguassata. A vulnerabilità hè presente da a liberazione 2.6.12-rc2. L'attaccu hè bisognu di diritti CAP_NET_ADMIN, chì ponu esse acquistati per avè accessu per creà spazii di nomi di rete o spazii di nomi d'utilizatori. Cum'è una soluzione di sicurezza, pudete disattivà u modulu cls_route aghjunghjendu a linea 'install cls_route /bin/true' à modprobe.conf.
- CVE-2022-2586 hè una vulnerabilità in u subsistema netfilter in u modulu nf_tables, chì furnisce u filtru di pacchetti nftables. U prublema hè causatu da u fattu chì l'ughjettu nft pò riferite una lista di set in una altra tavola, chì porta à l'accessu à l'area di memoria liberata dopu chì a tavula hè sguassata. A vulnerabilità hè presente da a liberazione 3.16-rc1. L'attaccu hè bisognu di diritti CAP_NET_ADMIN, chì ponu esse acquistati per avè accessu per creà spazii di nomi di rete o spazii di nomi d'utilizatori.
- CVE-2022-2585 hè una vulnerabilità in u timer di CPU POSIX causata da u fattu chì, quandu hè chjamatu da un filu non-principale, a struttura di u timer resta in a lista, malgradu a sviutata di a memoria assignata per u almacenamiento. A vulnerabilità hè presente da a liberazione 3.16-rc1.
Source: opennet.ru