Në implementimin e ndërfaqes asinkrone I/O io_uring, e cila është pjesë e bërthamës Linux Duke filluar me versionin 5.1, u identifikua një dobësi (CVE-2022-2602) që lejon një përdorues pa privilegje të fitojë privilegje rrënjë në sistem. Problemi është konfirmuar në degën 5.4 dhe bërthamat duke filluar me degën 5.15.
Dobësia shkaktohet nga një bllok i memories së përdorimit pas lirimit në nënsistemin io_uring, i cili ndodh si rezultat i një gjendje gare kur përpunohet një kërkesë io_uring në skedarin e synuar gjatë mbledhjes së mbeturinave për bazat Unix, nëse mbledhësi i mbeturinave çliron të gjitha të regjistruarat përshkruesit e skedarëve dhe përshkruesin e skedarit me të cilin funksionon io_uring. Për të krijuar artificialisht kushte që dobësia të shfaqet, mund ta vononi kërkesën duke përdorur userfaultfd derisa mbledhësi i mbeturinave të lëshojë kujtesën.
Studiuesit që identifikuan problemin njoftuan krijimin e një shfrytëzimi funksional, të cilin planifikojnë ta publikojnë më 25 tetor për t'u dhënë përdoruesve kohë për të instaluar përditësimet. Rregullimi është aktualisht i disponueshëm si një patch. Përditësimet për shpërndarjet nuk janë publikuar ende, por mund të ndiqni disponueshmërinë e tyre në faqet e mëposhtme: Debian, Ubuntu, Gentoo, RHEL, Fedora, SUSE/openSUSE, Arch.
Burimi: opennet.ru
