ʻO Netfilter, kahi subsystem o ka Linux kernel i hoʻohana ʻia e kānana a hoʻololi i nā ʻeke pūnaewele, he nāwaliwali (ʻaʻole hāʻawi ʻia ʻo CVE) e hiki ai i kahi mea hoʻohana kūloko ke hoʻokō i ke code ma ka pae kernel a hoʻokiʻekiʻe i ko lākou mau pono ma ka ʻōnaehana. Ua hōʻike nā mea noiʻi i kahi hoʻohana i hiki i kahi mea hoʻohana kūloko ke loaʻa nā kuleana kumu ma Ubuntu 22.04 me ka 5.15.0-39-generic kernel. I ka hoʻomaka ʻana, ua hoʻolālā ʻia ka ʻike e pili ana i ka nāwaliwali e paʻi ʻia ma ʻAukake 15, akā ma muli o ke kope ʻana i kahi leka me kahi prototype o ka hoʻohana ʻana i kahi papa inoa leka uila, ua hoʻokuʻu ʻia ka embargo i ka hōʻike ʻike.
Ua ʻike ʻia ka pilikia mai ka 5.8 kernel a ua hoʻokumu ʻia e ka buffer overflow i ke code no ka mālama ʻana i nā papa inoa i loko o ka module nf_tables, i loaʻa ma muli o ka nele o nā loiloi kūpono i ka hana nft_set_elem_init. Ua hoʻokomo ʻia ka bug i kahi hoʻololi i hoʻonui i ka wahi mālama no nā mea papa inoa i 128 bytes.
No ka hoʻokō ʻana i ka hoʻouka ʻana, koi ʻia ke komo ʻana i nā nftables, hiki ke loaʻa i kahi inoa inoa pūnaewele ʻokoʻa inā loaʻa iā ʻoe nā kuleana CLONE_NEWUSER, CLONE_NEWNS a i ʻole CLONE_NEWNET (no ka laʻana, inā hiki iā ʻoe ke holo i kahi pahu kaʻawale). ʻAʻole i loaʻa kahi hoʻoponopono. No ka pale ʻana i ka hoʻohana ʻana i ka nāwaliwali ma nā ʻōnaehana maʻamau, pono ʻoe e hōʻoia e hoʻopau i ka hiki ke hana i nā inoa inoa no nā mea hoʻohana pono ʻole ("sudo sysctl -w kernel.unprivileged_userns_clone=0").
Source: opennet.ru