Une autre vulnérabilité a été identifiée dans le sous-système eBPF (il n’y a pas de CVE), comme le problème d’hier qui permet à un utilisateur local non privilégié d’exécuter du code au niveau du noyau Linux. Le problème apparaît depuis le noyau Linux 5.8 et n'est toujours pas résolu. Un exploit fonctionnel devrait être publié le 18 janvier.
La nouvelle vulnérabilité est causée par une vérification incorrecte des programmes eBPF transmis pour exécution. En particulier, le vérificateur eBPF n'a pas correctement restreint certains types de pointeurs *_OR_NULL, ce qui a permis de manipuler les pointeurs des programmes eBPF et d'obtenir une augmentation de leurs privilèges. Pour bloquer l'exploitation de la vulnérabilité, il est proposé d'interdire l'exécution de programmes BPF par des utilisateurs non privilégiés avec la commande « sysctl -w kernel.unprivileged_bpf_disabled=1 ».
Source: opennet.ru