W menedżerze systemu słaby punkt (), co potencjalnie umożliwia wykonanie kodu z podwyższonymi uprawnieniami poprzez wysłanie specjalnie zaprojektowanego żądania przez magistralę DBus. Problem został rozwiązany w wersji testowej (poprawki rozwiązujące problem: , , ). Luka została naprawiona w dystrybucjach , , (pojawia się w RHEL 8, ale nie wpływa na RHEL 7), и , ale w chwili pisania tego tekstu wiadomości pozostają nieskorygowane и .
Luka wynika z dostępu do już zwolnionego obszaru pamięci (use-after-free), co ma miejsce podczas asynchronicznego wykonywania żądań do Polkita podczas przetwarzania komunikatów DBus. Niektóre interfejsy DBus wykorzystują pamięć podręczną do krótkotrwałego przechowywania obiektów i opróżniają wpisy pamięci podręcznej, gdy tylko magistrala DBus będzie wolna i może przetwarzać inne żądania. Jeśli procedura obsługi metody DBus używa bus_verify_polkit_async(), może być konieczne poczekanie na zakończenie akcji Polkit. Gdy Polkit będzie gotowy, procedura obsługi wywoływana jest ponownie i uzyskuje dostęp do danych już rozproszonych w pamięci. Jeśli żądanie do Polkita trwa zbyt długo, elementy w pamięci podręcznej zostaną wyczyszczone przed ponownym wywołaniem procedury obsługi metody DBus.
Wśród usług umożliwiających wykorzystanie luki wyróżnia się systemd-machined, która udostępnia DBus API org.freedesktop.machine1.Image.Clone, umożliwiając tymczasowe przechowywanie danych w pamięci podręcznej i asynchroniczny dostęp do Polkita. Interfejs
org.freedesktop.machine1.Image.Clone jest dostępny dla wszystkich nieuprzywilejowanych użytkowników systemu, co może spowodować awarię usług systemowych lub potencjalnie spowodować wykonanie kodu jako root (prototyp exploita nie został jeszcze zademonstrowany). Kod umożliwiający wykorzystanie luki to w wersji systemd-machined w wersji 2015 (RHEL 7.x używa systemd 219).
Źródło: opennet.ru