I implementeringen af futex (fast userspace mutex) systemopkaldet blev stakhukommelsesbrug efter fri opdaget og elimineret. Dette gav igen angriberen mulighed for at udføre sin kode i forbindelse med kernen, med alle de deraf følgende konsekvenser fra et sikkerhedssynspunkt. Sårbarheden var i fejlbehandlerkoden.
Rettelse Denne sårbarhed dukkede op i Linux-hovedlinjen den 28. januar og i forgårs kom den ind i kernerne 5.10.12, 5.4.94, 4.19.172, 4.14.218.
Under diskussionen af denne rettelse blev det foreslået, at denne sårbarhed eksisterer i alle kerner siden 2008:
https://www.openwall.com/lists/oss-security/2021/01/29/3
FWIW, denne forpligtelse har:
Rettelser: 1b7558e457ed ("futexes: ret fejlhåndtering i futex_lock_pi")
og den anden commit er fra 2008. Så sandsynligvis alle i øjeblikket
Linux-distros og implementeringer påvirkes, medmindre noget
ellers afbød problemet i nogle kerneversioner.
Kilde: linux.org.ru