CVE-2022-1972 напоминает проблему, раскрытую ранее в конце мая | Linux / Линукс

CVE-2022-1972 напоминает проблему, раскрытую ранее в конце мая. Новая уязвимость также позволяет локальному пользователю получить права root в системе через манипуляции с правилами в nftables и требует для проведения атаки доступа к nftables.

Проблема вызвана ошибкой в коде для обработки set-списков с полями, включающими несколько диапазонов. Она приводит к записи за пределы выделенной области памяти при обработке специально оформленных параметров списка. Исследователям удалось подготовить рабочий эксплоит для получения прав root в Ubuntu 21.10 c ядром 5.13.0-39-generic. Уязвимость проявляется начиная с ядра 5.6. Исправление предложено в виде патча.