Ġiet identifikata vulnerabbiltà (CVE-5.1-2022) fl-implimentazzjoni tal-interface ta' input/output asinkroniku io_uring, inkluża fil-kernel Linux minn rilaxx 2602, li tippermetti utent mhux privileġġjat li jikseb drittijiet tal-għeruq fis-sistema. Il-problema ġiet ikkonfermata fil-fergħa 5.4 u l-qlub mill-fergħa 5.15.
Il-vulnerabbiltà hija kkawżata minn blokk tal-memorja ta' użu wara l-ħieles fis-subsistema io_uring, li sseħħ bħala riżultat ta' kundizzjoni ta' razza meta tiġi pproċessata talba ta' io_uring fuq il-fajl fil-mira waqt il-ġbir taż-żibel għal sockets Unix, jekk il-kollettur taż-żibel jeħles kull reġistrat. deskritturi tal-fajls u d-deskritturi tal-fajls li bih jaħdem io_uring. Biex toħloq artifiċjalment kundizzjonijiet biex il-vulnerabbiltà timmanifesta ruħha, tista' tittardja t-talba billi tuża userfaultfd sakemm il-kollettur taż-żibel jirrilaxxa l-memorja.
Ir-riċerkaturi li identifikaw il-problema ħabbru l-ħolqien ta 'exploit ta' ħidma, li biħsiebhom jippubblikaw fil-25 ta 'Ottubru biex jagħtu lill-utenti ħin biex jinstallaw aġġornamenti. It-tiswija hija bħalissa disponibbli bħala garża. Aġġornamenti għad-distribuzzjonijiet għadhom ma ġewx rilaxxati, iżda tista 'ssegwi d-disponibbiltà tagħhom fil-paġni li ġejjin: Debian, Ubuntu, Gentoo, RHEL, Fedora, SUSE/openSUSE, Arch.
Sors: opennet.ru