Un’altra vulnerabilità è stata identificata nel sottosistema eBPF (non esiste CVE), come il problema di ieri che consente a un utente locale non privilegiato di eseguire codice a livello del kernel Linux. Il problema si presenta dal kernel Linux 5.8 e rimane irrisolto. Si prevede che un exploit funzionante verrà pubblicato il 18 gennaio.
La nuova vulnerabilità è causata da un'errata verifica dei programmi eBPF trasmessi per l'esecuzione. In particolare, il verificatore eBPF non ha limitato adeguatamente alcuni tipi di puntatori *_OR_NULL, il che ha reso possibile manipolare i puntatori dai programmi eBPF e ottenere un aumento dei loro privilegi. Per bloccare lo sfruttamento della vulnerabilità, si propone di vietare l'esecuzione di programmi BPF da parte di utenti non privilegiati con il comando “sysctl -w kernel.unprivileged_bpf_disabled=1”.
Fonte: opennet.ru