Yn de systemd systeembehearder kwetsberens (), wêrtroch jo jo koade mei ferhege privileezjes mooglik kinne útfiere troch in spesjaal ûntwurpen fersyk oer de DBus-bus te stjoeren. It probleem is fêst yn 'e testferzje (patches dy't it probleem oplosse: , , ). De kwetsberens is fêstlein yn distribúsjes , , (ferskynt yn RHEL 8, mar hat gjin ynfloed op RHEL 7), и , mar op it stuit fan it skriuwen bliuwt it nijs net korrizjearre yn и .
Уязвимость вызвана обращением к уже освобождённой области памяти (use-after-free), возникающем при асинхронном выполнении запросов к Polkit во время обработки DBus-сообщений. Некоторые DBus-интерфейсы используют кэш для хранения объектов на короткое время и очищают элементы кэша как только шина DBus освободится для обработки других запросов. Если обработчик DBus-метода использует bus_verify_polkit_async(), ему возможно потребуется ожидать завершения действия в Polkit. После готовности Polkit обработчик вызывается повторно и обращается к уже ранее распределённым в памяти данным. Если запрос к Polkit выполняется слишком долго, то элементы в кэше успевают очистится до того, как обработчик DBus-метода будет вызван второй раз.
Under de tsjinsten dy't de eksploitaasje fan 'e kwetsberens mooglik meitsje, wurdt systemd-machined opmurken, dy't de DBus API org.freedesktop.machine1.Image.Clone leveret, dy't liedt ta tydlike opslach fan gegevens yn' e cache en asynchrone tagong ta Polkit. Ynterface
org.freedesktop.machine1.Image.Clone is beskikber foar alle unprivileged brûkers fan it systeem, dat kin crashe systemd tsjinsten of mooglik feroarsaakje koade wurdt útfierd as root (it eksploitaasje prototype is noch net oantoand). De koade dy't eksploitaasje fan 'e kwetsberens tastien wie yn systemd-machined yn 2015 ferzje (RHEL 7.x brûkt systemd 219).
Boarne: opennet.ru