I le faʻatinoina o le asynchronous I/O interface io_uring, o se vaega o le kernel Linux начиная с выпуска 5.1, выявлена уязвимость (CVE-2022-2602), позволяющая непривилегированному пользователю получить права root в системе. Наличие проблемы подтверждено в ветке 5.4 и ядрах начиная с ветки 5.15.
O le fa'aletonu e mafua mai i le fa'aogaina o le poloka manatua i le io_uring subsystem, lea e tupu ona o se tu'uga tu'uga pe a fa'agasolo se talosaga io_uring i luga o le faila fa'atatau i le taimi e aoina ai lapisi mo sockets Unix, pe a fa'asa'oloto e le ao lapisi mea uma na resitalaina. fa'amatalaga faila ma le fa'amatalaga faila o lo'o galue ai io_uring. Ina ia faia fa'apitoa tulaga mo le fa'aletonu e fa'aalia ia lava, e mafai ona e fa'atuai le talosaga e fa'aaoga ai le userfaultfd se'ia o'o ina fa'asa'oloto e le ao lapisi le manatua.
Выявившие проблему исследователи объявили о создании рабочего эксплоита, который намерены опубликовать 25 октября, чтобы дать пользователям время на установку обновлений. Исправление пока доступно в виде патча. Обновления для дистрибутивов пока не выпущены, но проследить за их появлением можно на страницах: Debian, Ubuntu, Gentoo, RHEL, Fedora, SUSE/openSUSE, Arch.
puna: opennet.ru
