Dalam implementasi panggilan sistem futex (fast userspace mutex), penggunaan memori tumpukan setelah gratis terdeteksi dan dihilangkan. Hal ini, pada gilirannya, memungkinkan penyerang untuk mengeksekusi kodenya dalam konteks kernel, dengan semua konsekuensi berikutnya dari sudut pandang keamanan. Kerentanannya ada pada kode penangan kesalahan.
Koreksi Kerentanan ini muncul di jalur utama Linux pada 28 Januari dan kemarin lusa menyerang kernel 5.10.12, 5.4.94, 4.19.172, 4.14.218.
Selama pembahasan perbaikan ini, disarankan bahwa kerentanan ini ada di semua kernel sejak 2008:
https://www.openwall.com/lists/oss-security/2021/01/29/3
FWIW, komit ini memiliki: Perbaikan: 1b7558e457ed ("futexes: memperbaiki penanganan kesalahan di futex_lock_pi") dan komit lainnya berasal dari tahun 2008. Jadi mungkin semua distro dan penerapan Linux yang saat ini dikelola terpengaruh, kecuali ada hal lain yang meringankan masalah di beberapa versi kernel .
Sumber: linux.org.ru