En la implementación de la llamada al sistema futex (mutex rápido del espacio de usuario), se detectó y eliminó el uso de la memoria de la pila después de la liberación. Esto, a su vez, permitió al atacante ejecutar su código en el contexto del kernel, con todas las consecuencias consiguientes desde el punto de vista de la seguridad. La vulnerabilidad estaba en el código del controlador de errores.
Corrección Esta vulnerabilidad apareció en la línea principal de Linux el 28 de enero y anteayer llegó a los kernels 5.10.12, 5.4.94, 4.19.172, 4.14.218.
Durante la discusión sobre esta solución, se sugirió que esta vulnerabilidad existe en todos los núcleos desde 2008:
https://www.openwall.com/lists/oss-security/2021/01/29/3
FWIW, este compromiso tiene:
Correcciones: 1b7558e457ed ("futexes: corregir el manejo de fallas en futex_lock_pi")
y ese otro compromiso es de 2008. Así que probablemente todos actualmente
Las distribuciones e implementaciones de Linux se ven afectadas, a menos que algo
otra cosa mitigó el problema en algunas versiones del kernel.
Fuente: linux.org.ru