Nokkrir veikleikar hafa verið greindir í Linux kjarnanum, sem orsakast af aðgangi að þegar losuðum minnissvæðum og leyfa staðbundnum notanda að auka réttindi sín í kerfinu. Fyrir öll vandamálin sem eru til skoðunar hafa verið búnar til virka frumgerðir af hetjudáð, sem verða birtar viku eftir birtingu upplýsinga um veikleikana. Plástrar til að laga vandamálin hafa verið sendar til Linux kjarnahönnuða.
- CVE-2022-2588 er varnarleysi í innleiðingu cls_route síunnar sem stafar af villu sem stafar af því að við vinnslu á núllhandfangi var gamla sían ekki fjarlægð úr kjötkássatöflunni áður en minni var hreinsað. Varnarleysið hefur verið til staðar frá útgáfu 2.6.12-rc2. Árásin krefst CAP_NET_ADMIN réttinda, sem hægt er að fá með því að hafa aðgang að því að búa til netnafnarými eða notendanafnarými. Sem öryggislausn geturðu slökkt á cls_route einingunni með því að bæta línunni 'install cls_route /bin/true' við modprobe.conf.
- CVE-2022-2586 er varnarleysi í netfilter undirkerfinu í nf_tables einingunni, sem gefur nftables pakkasíuna. Vandamálið stafar af því að nft hluturinn getur vísað í settlista í annarri töflu, sem leiðir til aðgangs að losaða minnissvæðinu eftir að töflunni er eytt. Varnarleysið hefur verið til staðar frá útgáfu 3.16-rc1. Árásin krefst CAP_NET_ADMIN réttinda, sem hægt er að fá með því að hafa aðgang að því að búa til netnafnarými eða notendanafnarými.
- CVE-2022-2585 er varnarleysi í POSIX örgjörvateljara sem stafar af því að þegar hringt er úr þræði sem ekki er leiðandi er tímamælisbyggingin áfram á listanum, þrátt fyrir að hreinsa minnið sem úthlutað er til geymslu. Varnarleysið hefur verið til staðar frá útgáfu 3.16-rc1.
Heimild: opennet.ru