Netfilter၊ ကွန်ရက်ပက်ကတ်များကို စစ်ထုတ်ရန်နှင့် ပြုပြင်မွမ်းမံရန် အသုံးပြုသည့် Linux kernel ၏ခွဲစနစ်တစ်ခုတွင် ဒေသခံအသုံးပြုသူတစ်ဦးအား kernel အဆင့်တွင် ကုဒ်ကိုလုပ်ဆောင်ပြီး ၎င်းတို့၏အခွင့်အရေးများကို မြှင့်တင်ပေးသည့် အားနည်းချက်တစ်ခုရှိသည်။ သုတေသီများသည် 22.04-5.15.0-generic kernel ဖြင့် Ubuntu 39 တွင် root လုပ်ပိုင်ခွင့်များရရှိရန် ဒေသခံအသုံးပြုသူတစ်ဦးအား အသုံးချခွင့်ကို သရုပ်ပြခဲ့သည်။ ကနဦးတွင် အားနည်းချက်နှင့်ပတ်သက်သည့် အချက်အလက်များကို ဩဂုတ်လ 15 ရက်နေ့တွင် ထုတ်ပြန်ရန် စီစဉ်ထားသော်လည်း အသုံးချမှု၏ ရှေ့ပြေးပုံစံဖြင့် စာတစ်စောင်ကို အများသူငှာ ပေးပို့သည့်စာရင်းသို့ ကူးယူခြင်းကြောင့် သတင်းအချက်အလက် ထုတ်ဖော်မှုအပေါ် တားမြစ်ပိတ်ပင်မှုကို ရုတ်သိမ်းခဲ့သည်။
ပြဿနာသည် 5.8 kernel ကတည်းက ထင်ရှားခဲ့ပြီး nf_tables module အတွင်းရှိ set lists များကို ကိုင်တွယ်ရန်အတွက် code ထဲတွင် ကြားခံအလျှံအပယ်ရှိနေသောကြောင့်ဖြစ်ပြီး၊ nft_set_elem_init function တွင် မှန်ကန်သောစစ်ဆေးမှုများမရှိခြင်းကြောင့် ဖြစ်ပွားခဲ့သည်။ စာရင်းအရာများအတွက် သိုလှောင်မှုဧရိယာကို 128 bytes အထိ တိုးချဲ့ထားသည့် ပြောင်းလဲမှုတစ်ခုတွင် ချွတ်ယွင်းမှုကို မိတ်ဆက်ခဲ့သည်။
တိုက်ခိုက်မှုကိုလုပ်ဆောင်ရန်၊ သင့်တွင် CLONE_NEWUSER၊ CLONE_NEWNS သို့မဟုတ် CLONE_NEWNET လုပ်ပိုင်ခွင့်များရှိပါက သီးခြားကွန်ရက် namespaces တွင် ရရှိနိုင်သည့် nftables ကို ဝင်ရောက်အသုံးပြုရန် လိုအပ်သည် (ဥပမာ၊ သီးခြားကွန်တိန်နာတစ်ခုအား လုပ်ဆောင်နိုင်လျှင်)။ ပြေလည်မှု မရရှိသေးပါ။ ပုံမှန်စနစ်များတွင် အားနည်းချက်ကို အသုံးချခြင်းအား ပိတ်ဆို့ရန်၊ အခွင့်ထူးမခံရသေးသော သုံးစွဲသူများအတွက် namespaces ဖန်တီးနိုင်မှုကို ပိတ်ရန် သေချာစေသင့်သည် (“sudo sysctl -w kernel.unprivileged_userns_clone=0”)။
source: opennet.ru