Một lỗ hổng (CVE-2022-1729) đã được xác định trong nhân Linux, cho phép người dùng cục bộ có quyền truy cập root vào hệ thống. Lỗ hổng này xảy ra do tình trạng chạy đua trong hệ thống con perf, có thể được sử dụng để bắt đầu quyền truy cập use-after-free vào vùng bộ nhớ kernel đã được giải phóng. Vấn đề đã xuất hiện kể từ khi phát hành kernel 4.0-rc1. Khả năng hoạt động đã được xác nhận cho các bản phát hành 5.4.193+.
Bản sửa lỗi hiện chỉ có ở dạng bản vá. Sự nguy hiểm của lỗ hổng này được giảm thiểu bởi thực tế là hầu hết các bản phân phối theo mặc định đều hạn chế quyền truy cập vào perf đối với những người dùng không có đặc quyền. Để giải quyết vấn đề bảo vệ, bạn có thể đặt tham số sysctl kernel.perf_event_paranoid thành 3.
Nguồn: opennet.ru