Er is nog een kwetsbaarheid geïdentificeerd in het eBPF-subsysteem (er is geen CVE), zoals het probleem van gisteren waarbij een lokale gebruiker zonder privileges code op Linux-kernelniveau kan uitvoeren. Het probleem doet zich voor sinds Linux kernel 5.8 en is nog steeds niet opgelost. Er wordt beloofd dat er op 18 januari een werkende exploit zal worden gepubliceerd.
De nieuwe kwetsbaarheid wordt veroorzaakt door onjuiste verificatie van eBPF-programma's die worden verzonden voor uitvoering. In het bijzonder beperkte de eBPF-verifier bepaalde soorten *_OR_NULL pointers niet goed, waardoor het mogelijk werd pointers van eBPF-programma's te manipuleren en hun privileges te vergroten. Om misbruik van de kwetsbaarheid te blokkeren, wordt voorgesteld om de uitvoering van BPF-programma's door niet-bevoorrechte gebruikers met het commando “sysctl -w kernel.unprivileged_bpf_disabled=1” te verbieden.
Bron: opennet.ru