یک آسیب پذیری (CVE-2022-1729) در هسته لینوکس شناسایی شده است که به کاربر محلی اجازه می دهد تا به سیستم دسترسی ریشه داشته باشد. این آسیبپذیری ناشی از یک شرایط مسابقه در زیرسیستم perf است که میتواند برای شروع یک دسترسی پس از استفاده رایگان به یک ناحیه از قبل آزاد شده از حافظه هسته استفاده شود. این مشکل از زمان انتشار هسته 4.0-rc1 ظاهر شده است. قابلیت عملیاتی برای نسخه های 5.4.193+ تایید شد.
این اصلاح در حال حاضر فقط به صورت پچ در دسترس است. خطر این آسیبپذیری با این واقعیت کاهش مییابد که اکثر توزیعها به طور پیشفرض دسترسی به perf را برای کاربران غیرمجاز محدود میکنند. به عنوان یک راه حل برای محافظت، می توانید پارامتر sysctl kernel.perf_event_paranoid را روی 3 تنظیم کنید.
منبع: opennet.ru