Netfilter, bine-pergala kernel Linux-ê ku ji bo parzûnkirin û guheztina pakêtên torê tê bikar anîn, xwedan qelsiyek (CVE-2022-25636) ye ku destûrê dide darvekirina kodê di asta kernel de. Hat ragihandin ku mînakek îstismarek hatiye amadekirin ku destûrê dide bikarhênerek herêmî ku di Ubuntu 21.10 de îmtiyazên xwe yên ku mekanîzmaya parastina KASLR neçalak kiriye bilind bike. Pirsgirêk ji kernel 5.4 dest pê dike xuya dike. Rastkirin hîn jî wekî patchek heye (berdana kernelê ya rast nehatiye çêkirin). Hûn dikarin weşanên nûvekirinên pakêtê yên di belavkirinan de li ser van rûpelan bişopînin: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Zelalbûn ji ber xeletiyek di hesabkirina mezinahiya rêzika flow->rule-> action.entries di fonksiyona nft_fwd_dup_netdev_offload de (di pelê net/netfilter/nf_dup_netdev.c de hatî destnîşan kirin), ku dikare bibe sedema ku daneya ji hêla êrîşker ve hatî kontrol kirin. li deverek bîranînê li derveyî sînorê tamponê veqetandî hatî nivîsandin. Dema ku qaîdeyên "dup" û "fwd" di zincîran de ku ji bo wan bilezkirina hardware ya hilberandina pakêtê (offload) tê bikar anîn, xeletî xuya dike. Ji ber ku zêdebûn berî çêkirina qaîdeyek parzûna pakêtê û kontrolkirina piştgirîya barkirinê çêdibe, qelsî di heman demê de li ser cîhazên torê yên ku bilezkirina hardware piştgirî nakin, wekî navgînek loopback jî derbas dibe.
Tê destnîşan kirin ku pirsgirêk pir hêsan e ku meriv bikar bîne, ji ber ku nirxên ku ji tamponê wêdetir dikarin nîşanderê li avahiya net_device binivîsin, û daneyên di derbarê nirxa hatî nivîsandin de vedigerin cîhê bikarhêner, ku dihêle hûn navnîşanan bibînin. di bîranînê de ji bo pêkanîna êrîşê pêwîst e. Kêmkirina qelsiyê hewce dike ku di nftableyan de hin qaîdeyan were afirandin, ku tenê bi îmtiyazên CAP_NET_ADMIN, ku ji hêla bikarhênerek bêdestûr ve di nav cîhên navên torê yên cihê de têne peyda kirin, gengaz e. Di heman demê de xeternak dikare ji bo êrişkirina pergalên îzolekirina konteyneran jî were bikar anîn.
Source: opennet.ru