У системному менеджері systemd вразливість (), яка потенційно дозволяє досягти виконання свого коду з підвищеними привілеями через відправлення спеціально оформленого запиту по шині DBus. Проблема виправлена у тестовому випуску (вирішують проблему патчі: , , ). Уразливість усунена у дистрибутивах , , (проявляється в RHEL 8, але не торкається RHEL 7), и , але на момент написання новини залишається невиправленою в и .
Уязвимость вызвана обращением к уже освобождённой области памяти (use-after-free), возникающем при асинхронном выполнении запросов к Polkit во время обработки DBus-сообщений. Некоторые DBus-интерфейсы используют кэш для хранения объектов на короткое время и очищают элементы кэша как только шина DBus освободится для обработки других запросов. Если обработчик DBus-метода использует bus_verify_polkit_async(), ему возможно потребуется ожидать завершения действия в Polkit. После готовности Polkit обработчик вызывается повторно и обращается к уже ранее распределённым в памяти данным. Если запрос к Polkit выполняется слишком долго, то элементы в кэше успевают очистится до того, как обработчик DBus-метода будет вызван второй раз.
З сервісів, що дозволяють експлуатувати вразливість, відзначається systemd-machined, який надає DBus API org.freedesktop.machine1.Image.Clone, що призводить до тимчасового збереження даних у кеші та асинхронного звернення до Polkit. Інтерфейс
org.freedesktop.machine1.Image.Clone доступний всім непривілейованим користувачам системи, які можуть ініціювати крах сервісів systemd або потенційно домогтися виконання коду з правами root (прототип експлоїту поки не продемонстровано). Код, що дозволяє експлуатувати вразливість, був у systemd-machined у 2015 році у версії (RHEL 7.x використовується systemd 219).
Джерело: opennet.ru