Nuglaanta (CVE-2021-4204) ayaa lagu aqoonsaday nidaamka hoosaadka eBPF, kaas oo kuu ogolaanaya inaad ku socodsiiso maamulayaasha gudaha kernel Linux mashiin khaas ah oo leh JIT, taasoo u oggolaanaysa isticmaale maxalli ah oo aan mudnayn inuu gaaro mudnaanta mudnaanta oo uu ku fuliyo koodkiisa Heerka kernel Linux. Dhibaatadu waxay soo ifbaxday tan iyo Linux kernel 5.8 oo wali aan la hagaajin (oo ay ku jirto sii deynta 5.16). Xaaladda cusboonaysiinta ee la soo saaray si loo xalliyo dhibaatada qaybinta waxaa lagala socon karaa bogaggan: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Waxaa lagu dhawaaqay in la sameeyay ka faa'iidaysi shaqo, kaas oo la qorsheeyay in la daabaco Janaayo 18 ( isticmaalayaasha iyo horumariyeyaasha ayaa la siiyay toddobaad si ay u hagaajiyaan dayacanka).
Nuglaanta waxaa sababa xaqiijinta khaldan ee barnaamijyada eBPF ee loo gudbiyo fulinta. Nidaam-hoosaadka eBPF waxa uu bixiyaa hawlo caawiye ah, isticmaalka saxda ah ee isticmaalka kaas oo lagu xaqiijiyay hubiye gaar ah. Hawlaha qaarkood waxay u baahan yihiin in loo gudbiyo qiimaha PTR_TO_MEM dood ahaan, iyo si looga hortago qulqulka qulqulka suurtagalka ah, xaqiijiyuhu waa inuu yaqaannaa xajmiga xusuusta ee la xidhiidha dooda. Hawlaha bpf_ringbuf_submit iyo bpf_ringbuf_discard, xogta cabbirka xusuusta la wareejiyay looma sheegin xaqiijinta, taas oo loo isticmaali karo in lagu beddelo meelaha xusuusta ee ka baxsan soohdinta kaydka marka la fulinayo koodka eBPF ee si gaar ah loo habeeyay.
Si loo qaado weerar, isticmaaluhu waa inuu awood u yeeshaa inuu ku shubto barnaamijkiisa BPF, iyo qaybin badan oo Linux ah oo dhowaan la qaybiyay ayaa xannibaya awooddan si caadi ah (oo ay ku jiraan gelitaanka aan mudnaanta lahayn ee eBPF hadda waa mamnuuc si caadi ah kernel laftiisa, laga bilaabo sii deynta 5.16). Tusaale ahaan, nuglaanta waxaa looga faa'iidaysan karaa qaabka caadiga ah ee Ubuntu 20.04 LTS, laakiin gudaha Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 iyo Fedora 33 waxay u muuqataa kaliya haddii maamuluhu dejiyo kernel.unprivileged_bpf_disabled parameter to 0. Sida xalalka looga hortagayo dayacanka, waxaad ka hortagi kartaa fulinta barnaamijyada BPF ee isticmaalayaasha aan mudnaanta lahayn amarka "sysctl -w kernel.unprivileged_bpf_disabled=1".
Source: opennet.ru