Im eBPF-Subsystem wurde eine weitere Schwachstelle identifiziert (es gibt kein CVE), wie das gestrige Problem, das es einem lokalen unprivilegierten Benutzer ermöglicht, Code auf der Linux-Kernel-Ebene auszuführen. Das Problem tritt seit Linux-Kernel 5.8 auf und ist weiterhin unbehoben. Ein funktionierender Exploit soll voraussichtlich am 18. Januar veröffentlicht werden.
Die neue Sicherheitslücke wird durch eine fehlerhafte Überprüfung der zur Ausführung übermittelten eBPF-Programme verursacht. Insbesondere hat der eBPF-Verifizierer einige Arten von *_OR_NULL-Zeigern nicht ordnungsgemäß eingeschränkt, wodurch es möglich wurde, Zeiger von eBPF-Programmen zu manipulieren und eine Erhöhung ihrer Berechtigungen zu erreichen. Um die Ausnutzung der Schwachstelle zu verhindern, wird vorgeschlagen, die Ausführung von BPF-Programmen durch unprivilegierte Benutzer mit dem Befehl „sysctl -w kernel.unprivileged_bpf_disabled=1“ zu verhindern.
Source: opennet.ru