A kerentanan (CVE-5.1-2022) geus dicirikeun dina palaksanaan io_uring Asynchronous input / output interface, kaasup dina kernel Linux Ubuntu saprak release 2602, nu ngidinan pamaké unprivileged mangtaun hak root dina sistem. Masalahna parantos dikonfirmasi dina cabang 5.4 sareng kernels saprak cabang 5.15.
Kerentanan disababkeun ku blok memori pamakéan-sanggeus-gratis dina subsistem io_uring, nu lumangsung salaku hasil tina kaayaan lomba nalika ngolah hiji pamundut io_uring dina file target salila ngumpulkeun sampah pikeun sockets Unix, lamun collector sampah frees sadayana didaptarkeun. deskriptor file sareng deskriptor file anu dianggo pikeun io_uring. Pikeun nyiptakeun kaayaan sacara artifisial pikeun kerentanan muncul, anjeun tiasa ngalambatkeun pamundut nganggo userfaultfd dugi ka tukang sampah ngaleupaskeun mémori.
Panaliti anu ngaidentipikasi masalahna ngumumkeun nyiptakeun eksploitasi anu tiasa dianggo, anu aranjeunna badé nyebarkeun dina 25 Oktober pikeun masihan waktos pangguna pikeun masang apdet. Perbaikan ayeuna sayogi salaku patch. Pembaruan pikeun distribusi henteu acan dileupaskeun, tapi anjeun tiasa ngalacak kasadiaanna dina halaman ieu: Debian, Ubuntu, Gentoo, RHEL, Fedora, SUSE / openSUSE, Arch.
sumber: opennet.ru