Trong trình quản lý hệ thống systemd
Уязвимость вызвана обращением к уже освобождённой области памяти (use-after-free), возникающем при асинхронном выполнении запросов к Polkit во время обработки DBus-сообщений. Некоторые DBus-интерфейсы используют кэш для хранения объектов на короткое время и очищают элементы кэша как только шина DBus освободится для обработки других запросов. Если обработчик DBus-метода использует bus_verify_polkit_async(), ему возможно потребуется ожидать завершения действия в Polkit. После готовности Polkit обработчик вызывается повторно и обращается к уже ранее распределённым в памяти данным. Если запрос к Polkit выполняется слишком долго, то элементы в кэше успевают очистится до того, как обработчик DBus-метода будет вызван второй раз.
Trong số các dịch vụ cho phép khai thác lỗ hổng, đáng chú ý là systemd-machined, cung cấp API DBus org.freedesktop.machine1.Image.Clone, dẫn đến việc lưu trữ dữ liệu tạm thời trong bộ đệm và truy cập không đồng bộ vào Polkit. Giao diện
org.freedesktop.machine1.Image.Clone có sẵn cho tất cả người dùng không có đặc quyền của hệ thống, điều này có thể làm hỏng các dịch vụ systemd hoặc có khả năng khiến mã được thực thi dưới quyền root (nguyên mẫu khai thác vẫn chưa được chứng minh). Mã cho phép khai thác lỗ hổng là
Nguồn: opennet.ru