25.01.2022

Ещё одна уязвимость в подсистеме eBPF, позволяющая повысить свои привилегии

В подсистеме eBPF выявлена ещё одна уязвимость (CVE отсутствует), как и вчерашняя проблема позволяющая локальному непривилегированному пользователю выполнить код на уровне ядра Linux. Проблема проявляется начиная с ядра Linux 5.8 и пока остаётся неисправленной. Рабочий эксплоит обещают опубликовать 18 января.

Новая уязвимость вызвана некорректной проверкой передаваемых для выполнения eBPF-программ. В частности верификатор eBPF должным образом не ограничивал некоторые типы указателей *_OR_NULL, что давало возможность производить манипуляции с указателями из eBPF-программ и добиться повышения своих привилегий.
Для блокирования эксплуатации уязвимости предлагается запретить выполнение BPF-программ непривилегированным пользователям командой «sysctl -w kernel.unprivileged_bpf_disabled=1».

Источник.