Í systemd kerfisstjóranum varnarleysi (), sem hugsanlega gerir þér kleift að keyra kóðann þinn með auknum réttindum með því að senda sérhönnuð beiðni yfir DBus strætó. Vandamálið er lagað í prófunarútgáfunni (plástrar sem leysa vandamálið: , , ). Varnarleysið hefur verið lagað í dreifingum , , (birtist í RHEL 8, en hefur ekki áhrif á RHEL 7), и , en þegar þetta er skrifað er fréttin óleiðrétt í и .
Varnarleysið stafar af aðgangi að þegar lausu minnissvæði (nota-eftir-frjáls), sem á sér stað þegar ósamstilltur framkvæmd beiðna til Polkit á meðan unnið er með DBus skilaboð. Sum DBus viðmót nota skyndiminni til að geyma hluti í stuttan tíma og skola skyndiminnisfærslurnar um leið og DBus rútan er frjáls til að vinna úr öðrum beiðnum. Ef DBus aðferðastjórnun notar bus_verify_polkit_async(), gæti þurft að bíða eftir að Polkit aðgerðinni ljúki. Eftir að Polkit er tilbúið er hringt í stjórnandann aftur og hann opnar gögnin sem þegar hafa verið dreift í minni. Ef beiðni til Polkit tekur of langan tíma verða atriðin í skyndiminni hreinsuð áður en hringt er í DBus aðferðameðferðarmanninn í annað sinn.
Meðal þeirra þjónustu sem leyfa hagnýtingu á varnarleysinu er bent á systemd-machined, sem veitir DBus API org.freedesktop.machine1.Image.Clone, sem leiðir til tímabundinnar geymslu gagna í skyndiminni og ósamstilltur aðgangs að Polkit. Viðmót
org.freedesktop.machine1.Image.Clone er í boði fyrir alla óforréttinda notendur kerfisins, sem geta hrundið kerfisþjónustu eða hugsanlega valdið því að kóða sé keyrður sem rót (ekki hefur enn verið sýnt fram á exploit frumgerðina). Kóðinn sem leyfði hagnýtingu á varnarleysinu var í systemd-machined í 2015 útgáfu (RHEL 7.x notar systemd 219).
Heimild: opennet.ru