In kwetsberens (CVE-2022-37706) is identifisearre yn 'e brûkersomjouwing fan' e ferljochting dy't in unprivilegearre lokale brûker koade mei rootrjochten kin útfiere. De kwetsberens is noch net fêst (0-dei), mar d'r is al in eksploitaasje beskikber yn it publike domein, testen yn Ubuntu 22.04.
It probleem is yn 'e útfierbere enlightenment_sys, dy't ferstjoerd wurdt mei de suid-rootflagge en beskate tastiene kommando's útfiert, lykas it montearjen fan it stasjon mei it mount-hulpprogramma, troch in oprop nei systeem (). Troch de ferkearde wurking fan de funksje dy't genereart de tekenrige trochjûn oan it systeem () oprop, quotes wurde ôfsnien út de arguminten fan it kommando wurdt lansearre, dat kin brûkt wurde om in run dyn eigen koade. Bygelyks, by it útfieren fan mkdir -p /tmp/net mkdir -p "/tmp/;/tmp/exploit" echo "/bin/sh"> /tmp/exploit chmod a+x /tmp/exploit enlightenment_sys /bin/mount - o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), “/dev/../tmp/;/tmp/exploit” /tmp// /net
fanwege it fuortheljen fan dûbele oanhalingstekens, ynstee fan it opjûne kommando '/bin/mount ... "/dev/../tmp/;/tmp/exploit" /tmp///net' sil in tekenrige sûnder dûbele oanhalingstekens wêze trochjûn oan de systeem() funksje ' /bin/mount … /dev/../tmp/;/tmp/exploit /tmp///net', wat it kommando '/tmp/exploit /tmp///net sil feroarsaakje ' apart út te fieren ynstee fan te wurde ferwurke as ûnderdiel fan it paad nei apparaat. De rigels "/dev/../tmp/" en "/tmp///net" wurde keazen om argumintkontrôle foar it mount-kommando yn enlightenment_sys te omgean (it mount-apparaat moat begjinne mei /dev/ en wize op in besteande triem, en de trije "/" karakters op it berchpunt wurde oantsjutte om de fereaske paadgrutte te berikken).
Boarne: opennet.ru