Outra vulnerabilidade foi identificada no subsistema eBPF (não há CVE), como o problema de ontem que permite que um usuário local sem privilégios execute código no nível do kernel Linux. O problema vem aparecendo desde o kernel Linux 5.8 e permanece sem solução. Uma exploração funcional está prometida para ser publicada em 18 de janeiro.
A nova vulnerabilidade é causada pela verificação incorreta de programas eBPF transmitidos para execução. Em particular, o verificador eBPF não restringiu adequadamente alguns tipos de ponteiros *_OR_NULL, o que possibilitou manipular ponteiros de programas eBPF e obter um aumento em seus privilégios. Para bloquear a exploração da vulnerabilidade, propõe-se proibir a execução de programas BPF por usuários não privilegiados com o comando “sysctl -w kernel.unprivileged_bpf_disabled=1”.
Fonte: opennet.ru