Netfilter, eto ipilẹ ekuro Linux ti a lo lati ṣe àlẹmọ ati yipada awọn apo-iwe nẹtiwọọki, ni ailagbara kan (ko si iyasọtọ CVE) ti o le gba olumulo agbegbe laaye lati ṣiṣẹ koodu ipele-ekuro ati gbe awọn anfani wọn ga lori eto naa. Awọn oniwadi ti ṣe afihan ilokulo ti o gba olumulo agbegbe laaye lati di gbongbo ni Ubuntu 22.04 pẹlu ekuro 5.15.0-39-generic. Ni ibẹrẹ, alaye nipa ailagbara naa ni a gbero lati ṣe atẹjade ni Oṣu Kẹjọ Ọjọ 15, ṣugbọn nitori didakọ lẹta naa pẹlu apẹẹrẹ ilokulo si atokọ ifiweranṣẹ ti gbogbo eniyan, a gbe embargo lori sisọ alaye kuro.
Iṣoro naa ti wa lati itusilẹ ti kernel 5.8 ati pe o fa nipasẹ aponsedanu ifipamọ ninu koodu fun mimu awọn atokọ ṣeto ninu module nf_tables nitori aini awọn sọwedowo to dara ni iṣẹ nft_set_elem_init. Kokoro naa wa ni iyipada ti o faagun agbegbe ibi ipamọ fun awọn ohun atokọ si awọn baiti 128.
Ikọlu naa nilo iraye si awọn nftables, eyiti o le gba ni aaye orukọ nẹtiwọọki lọtọ (awọn aaye orukọ nẹtiwọọki) ti o ba ni awọn ẹtọ CLONE_NEWUSER, CLONE_NEWNS tabi CLONE_NEWNET (fun apẹẹrẹ, ti o ba le ṣiṣe apoti ti o ya sọtọ). Atunṣe ko sibẹsibẹ wa. Lati dènà ilokulo ailagbara ni awọn eto deede, o yẹ ki o rii daju pe agbara lati ṣẹda awọn aaye orukọ nipasẹ awọn olumulo ti ko ni anfani jẹ alaabo ("sudo sysctl -w kernel.unprivileged_userns_clone=0").
orisun: opennet.ru