Við innleiðingu á futex (hraðvirkt notendarými mutex) kerfiskalli fannst staflaminninotkun eftir ókeypis og eytt. Þetta, aftur á móti, gerði árásarmanninum kleift að keyra kóðann sinn í samhengi við kjarnann, með öllum afleiðingum þess frá öryggissjónarmiði. Varnarleysið var í villumeðferðarkóðanum.
Leiðrétting Þessi varnarleysi birtist í Linux aðallínunni 28. janúar og í fyrradag komst hann inn í kjarna 5.10.12, 5.4.94, 4.19.172, 4.14.218.
Við umfjöllun um þessa lagfæringu var bent á að þessi varnarleysi væri til staðar í öllum kjarna síðan 2008:
https://www.openwall.com/lists/oss-security/2021/01/29/3
FWIW, þessi skuldbinding hefur:
Lagfæringar: 1b7558e457ed ("futexes: laga bilanameðferð í futex_lock_pi")
og þessi önnur skuldbinding er frá 2008. Svo líklega allt eins og er
Linux dreifingar og dreifingar verða fyrir áhrifum, nema eitthvað sé
annað mildaði málið í sumum kjarnaútgáfum.
Heimild: linux.org.ru