Se ha identificado otra vulnerabilidad en el subsistema eBPF (no hay CVE), como el problema de ayer que permite a un usuario local sin privilegios ejecutar código a nivel del kernel de Linux. El problema ha estado apareciendo desde el kernel de Linux 5.8 y sigue sin solucionarse. Se promete publicar un exploit funcional el 18 de enero.
La nueva vulnerabilidad es causada por una verificación incorrecta de los programas eBPF transmitidos para su ejecución. En particular, el verificador de eBPF no restringió adecuadamente algunos tipos de punteros *_OR_NULL, lo que hizo posible manipular punteros de programas eBPF y lograr un aumento en sus privilegios. Para bloquear la explotación de la vulnerabilidad, se propone prohibir la ejecución de programas BPF por parte de usuarios sin privilegios con el comando "sysctl -w kernel.unprivileged_bpf_disabled=1".
Fuente: opennet.ru